4 raisons pour lesquelles les gestionnaires de mots de passe ne suffisent pas pour protéger vos mots de passe

4 raisons pour lesquelles les gestionnaires de mots de passe ne suffisent pas pour protéger vos mots de passe / Sécurité

Si vous avez laborieusement mis au point la configuration d'un gestionnaire de mots de passe, vous devez commencer par utiliser 7 superpouvoirs de gestionnaire de mots de passe intelligents. Vous devez commencer à utiliser. Les gestionnaires de mot de passe comportent de nombreuses fonctionnalités intéressantes. ? Voici sept aspects d’un gestionnaire de mots de passe dont vous devriez tirer parti. Lire la suite, vous pourriez penser que vous êtes à l'abri des regards indiscrets des pirates informatiques et des cyber-criminels.

Vous vous trompez.

Oui, les gestionnaires de mots de passe sont un outil précieux dans la lutte permanente pour assurer votre sécurité, mais ils ne sont ni infaillibles ni infaillibles, ni n'offrent une protection suffisante par eux-mêmes..

Voici quatre raisons pour lesquelles les gestionnaires de mots de passe ne suffisent pas pour protéger vos mots de passe par eux-mêmes..

1. Les gestionnaires de mots de passe sont le Saint Graal pour les pirates

Les gestionnaires de mots de passe sont-ils très sécurisés Faites-vous ces 6 erreurs de sécurité avec Password Manager? Faites-vous ces 6 erreurs de sécurité avec Password Manager? Les gestionnaires de mots de passe ne peuvent être sécurisés que si vous le souhaitez, et si vous faites l'une de ces six erreurs fondamentales, vous compromettez votre sécurité en ligne. Lire la suite ? Oui. Déploient-ils des systèmes de cryptage et de cryptographie rigoureux? Comment les gestionnaires de mots de passe conservent-ils vos mots de passe en toute sécurité? Comment les gestionnaires de mots de passe conservent-ils vos mots de passe en toute sécurité? Voulez-vous être en sécurité? Vous avez besoin d'un gestionnaire de mot de passe. Voici comment ils fonctionnent et comment ils vous protègent. Lire la suite ? Oui. Pouvez-vous affirmer catégoriquement qu'aucun pirate informatique ne sera en mesure de déchiffrer le système et d'accéder aux mots de passe de millions d'utilisateurs qu'il contient?

Non.

Pensez-y: les services de gestion de mots de passe sont une perspective extrêmement séduisante pour les pirates. S'ils pouvaient franchir les murs extérieurs du coffre des mots de passe, ils auraient accès à une quantité incalculable de trésors. Ils vont continuer d'essayer d'entrer par effraction. C'est inévitable.

Utilisons LastPass comme exemple. Des cybercriminels ont attaqué les serveurs à deux reprises LastPass s'est fait pirater, Shenmue 3 Kickstarter, Final Fantasy 7 Remake, et plus encore… [Tech News Digest] LastPass s'est fait pirater, Shenmue 3 Kickstarter, Final Fantasy 7 Remake, et plus… [Tech News Digest] Changez votre mot de passe LastPass, démarrez Shenmue 3, refait Final Fantasy 7, Xbox One joue à la Xbox 360, Netflix fait peau neuve et Conan joue à Halo 5: Guardians. Lire la suite au cours des cinq dernières années. À chaque fois, la société a insisté sur le fait que ses utilisateurs n'avaient besoin que de changer le mot de passe principal de leurs comptes et les coffres-forts de mots de passe étaient toujours sécurisés.

Mais les hacks prouvent que des failles de sécurité existent. Est-ce seulement une question de temps avant qu'une personne autorisée obtienne l'accès? Probablement.

2. Les experts disent que les gestionnaires de mots de passe ont de graves défauts

En 2014, des chercheurs en sécurité ont découvert que LastPass, RoboForm, My1login, PasswordBox et NeedMyPassword présentaient tous plusieurs failles de sécurité dangereuses..

La plus inquiétante de ces failles permettait aux pirates de dérober des mots de passe en texte clair directement aux utilisateurs de LastPass à l'aide du bookmarklet, sans que l'utilisateur ou la société ne se rendent compte que quelque chose n'allait pas..

LastPass présentait également une faille selon laquelle un code malveillant sur un site Web pourrait voler l'intégralité du coffre-fort de mot de passe crypté d'un utilisateur, à condition que le pirate informatique connaisse l'adresse de messagerie de l'utilisateur..

RoboForm, My1login, PasswordBox et NeedMyPassword présentaient tous des défauts tout aussi graves, y compris une faille permettant aux attaquants de voler le nom complet d'un utilisateur, son nom d'utilisateur et toute URL sur laquelle un mot de passe avait été saisi..

Heureusement, les fournisseurs de services ont corrigé ces bugs, mais il serait insensé de croire qu'ils sont maintenant parfaits. Il y a presque certainement encore des bugs non découverts, attendant que quelqu'un les trouve.

L'adoption généralisée de gestionnaires de mots de passe non sécurisés pourrait aggraver la situation: ajouter un nouveau point de défaillance unique non testé à l'écosystème d'authentification Web..

- Zhiwei Li, Warren He, Devdatta Akhawe et Dawn Song, auteurs de Le nouveau gestionnaire de mots de passe de l'empereur: analyse de la sécurité des gestionnaires de mots de passe basés sur le Web

En fin de compte, vous confiez au gestionnaire de mots de passe certains de vos détails les plus importants. Mettre tous vos œufs dans le même panier est déconseillé.

3. Bases de données en nuage et bases de données locales

Vous aurez remarqué que les cinq services décrits ci-dessus sont tous basés sur le Web. Si vous utilisez un gestionnaire de mots de passe basé localement (tel que KeePass ou 1Password), évitez de vous laisser envahir par un faux sentiment de sécurité. l'étude n'a porté que sur les options Web.

Selon certains arguments, les gestionnaires locaux sont intrinsèquement plus sûrs que les gestionnaires en nuage. Il est plus difficile pour un pirate informatique d'entrer et plus difficile de voler la base de données..

Mais ils ne sont pas infaillibles. Nous savons tous comment réagir aux menaces de sécurité auxquelles sont exposés les utilisateurs d’ordinateurs de bureau. 5 menaces de sécurité en ligne que vous devez informer vos amis sur les 5 menaces de sécurité en ligne dont vous devez informer vos amis. Vous seriez surpris de découvrir où se trouvent tous les programmes malveillants. Ce n'est plus juste des ordinateurs ordinaires, mais plutôt quelque chose avec un appareil connecté, y compris des jouets. En savoir plus: enregistreurs de frappe, hackers cachés sur les réseaux Wi-Fi publics, malwares sans fin, etc. Si vous êtes assez malchanceux pour vous retrouver sous attaque, votre base de données de mots de passe enregistrée localement pourrait bien être l'une des premières choses que les pirates informatiques volent.

Et que se passe-t-il si votre base de données est enregistrée sur votre appareil mobile? Si vous perdez votre appareil, il pourrait facilement se retrouver entre de mauvaises mains. Oui, c'est crypté, mais si vous avez configuré votre application pour ne nécessiter qu'un mot de passe principal ou une empreinte digitale pour accéder à la base de données, le cryptage n'aura pas beaucoup de valeur.

4. Vos paramètres peuvent vous laisser vulnérable

Je viens juste d'en parler brièvement. Les gestionnaires de mots de passe ont de nombreux paramètres que vous pouvez modifier; certains d'entre eux rendent le service plus sécurisé 8 manières simples de surcharger votre sécurité LastPass 8 façons simples de surcharger votre sécurité LastPass Vous utilisez peut-être LastPass pour gérer vos nombreux mots de passe en ligne, mais l'utilisez-vous correctement? Voici huit étapes à suivre pour rendre votre compte LastPass encore plus sécurisé. Lire la suite . Cependant, beaucoup d'entre eux sont conçus pour la commodité - leur permettre de vous rendre plus vulnérable.

Par exemple, LastPass ne vous demandera pas automatiquement votre mot de passe principal lorsque vous tenterez d’accéder aux informations d’identité d’une personne de votre coffre-fort (Paramètres> Paramètres avancés> Invite pour mot de passe principal).

En outre, la plupart des applications mobiles des services vous permettent de désactiver l'authentification par empreinte digitale et / ou mot de passe jusqu'à 24 heures après chaque connexion réussie. Ne le fais pas. Souhaitez-vous laisser votre banque en ligne connectée pendant 24 heures pour enregistrer quelques clics??

Et bien sûr, faites attention à ceux avec qui vous partagez les mots de passe, utilisez le service de partage intégré aux services - peut-être que leurs paramètres laisseront vos comptes exposés? Assurez-vous que vos amis et votre famille sont conscients des conséquences pour la sécurité..

Ne prenez pas de raccourcis. Passez plutôt du temps à examiner les paramètres avancés de vos services et à les rendre aussi robustes que possible..

Gestionnaires de mots de passe: à utiliser ou à éviter?

Les gestionnaires de mots de passe valent-ils mieux que de stocker toutes vos informations sur une feuille Excel ou d'utiliser les mêmes informations d'identification pour chaque site? Sans aucun doute. Mais qu’ils soient aussi sûrs que vous pouvez le croire, c’est discutable.

La plupart des gens utilisent les services pour des raisons de commodité autant que pour la sécurité. Mais ce faisant, vous risquez de vous compromettre. Je ne vais pas vous dire d'arrêter de les utiliser, mais procédez avec prudence. Par exemple, vous devriez peut-être fractionner votre mot de passe entre plusieurs gestionnaires. 5 Meilleures alternatives LastPass pour gérer vos mots de passe 5 Meilleures alternatives LastPass pour gérer vos mots de passe Beaucoup de gens considèrent que LastPass est le roi des gestionnaires de mots de passe. Il regorge de fonctionnalités et compte plus d’utilisateurs que ses concurrents, mais c’est loin d’être la seule option! Lire la suite ?

Et rappelez-vous, l'essentiel est qu'il n'y a pas de remplacement pour votre propre cerveau. Si vous pouvez créer un code fort que vous ajustez légèrement pour chaque connexion individuelle, vous aurez plus de sécurité que n'importe quel gestionnaire de mot de passe pourrait offrir..

Avez-vous confiance en gestionnaires de mot de passe? Faites-nous savoir dans les commentaires ci-dessous.

En savoir plus sur: la sécurité en ligne, le gestionnaire de mots de passe.