Comment les sites Web maintiennent-ils vos mots de passe en sécurité?

Nous passons maintenant rarement un mois sans entendre parler d'une sorte de violation de données; Il peut s'agir d'un service actualisé tel que Gmail. Votre compte Gmail figure-t-il parmi 42 millions d'informations d'identification perdues? Votre compte Gmail compte-t-il parmi 42 millions de références perdues? En savoir plus ou quelque chose que la plupart d'entre nous ont oublié, comme MySpace Facebook Tracks Everybody, MySpace s'est fait pirater… [Tech News Digest] Facebook suit tout le monde, MySpace Got Hacked… [Tech News Digest] Facebook suit tout le monde sur le Web, des millions de MySpace les identifiants sont à vendre, Amazon apporte Alexa à votre navigateur, No Man's Sky souffre d'un retard et Pong Project prend forme. Lire la suite .

Facteur dans notre prise de conscience croissante de la façon dont Google divulgue nos informations confidentielles Google le sait probablement sur vous Ce que Google connait probablement sur vous Lire la suite, médias sociaux (notamment Facebook Facebook Confidentialité: 25 choses que le réseau social connaît de vous Facebook Vie privée: 25 choses que le réseau social connaît à propos de vous Facebook connaît une quantité surprenante de personnes - des informations que nous partageons volontiers - de cette information, vous pouvez entrer dans un groupe démographique, enregistrer vos "goûts" et surveiller vos relations. Voici 25 choses que Facebook connaît de Facebook … Read More), et même nos propres smartphones Quel est le système d'exploitation mobile le plus sécurisé? Quel est le système d'exploitation mobile le plus sécurisé? Luttant pour le titre de système d'exploitation le plus sécurisé pour mobile, nous avons: Android, BlackBerry, Ubuntu, Windows Phone et iOS. Quel système d'exploitation est le mieux à même de résister aux attaques en ligne? En savoir plus et personne ne peut vous reprocher d'être un peu paranoïaque quant à la manière dont les sites Web traitent de quelque chose d'aussi important que votre mot de passe. Tout ce que vous devez savoir sur les mots de passe Tout ce que vous devez savoir sur les mots de passe Les mots de passe sont importants et la plupart des gens n'en savent pas assez. leur. Comment choisissez-vous un mot de passe fort, utilisez-vous un mot de passe unique partout et vous en souvenez-vous tous? Comment sécurisez-vous vos comptes? Comment… Lire la suite .

En fait, pour la tranquillité d’esprit, c’est quelque chose que tout le monde a besoin de savoir…

Le pire scénario: texte brut

Considérez ceci: un site Web majeur a été piraté. Les cybercriminels ont violé toutes les mesures de sécurité élémentaires nécessaires, en tirant peut-être avantage d'une faille dans leur architecture. Vous êtes un client Ce site a stocké vos coordonnées. Heureusement, votre mot de passe est sécurisé.

Sauf que le site stocke votre mot de passe sous forme de texte brut.

C'était toujours une bombe à retardement. Les mots de passe en texte brut n'attendent que d'être pillés. Ils n'utilisent aucun algorithme pour les rendre illisibles. Les pirates peuvent le lire aussi simplement que vous lisez cette phrase.

C'est une pensée effrayante, n'est-ce pas? Peu importe la complexité de votre mot de passe, même s'il est composé de pi à 30 chiffres: une base de données en texte brut est une liste des mots de passe de chacun, clairement énoncés, y compris les chiffres et caractères supplémentaires que vous utilisez. Même si les hackers ne pas craquer le site, voulez-vous vraiment que l'administrateur puisse voir vos informations de connexion confidentielles?

# c4news

J'utilise toujours un bon mot de passe fort, comme Hercules ou Titan, et je n'ai jamais eu de problèmes…

- Ne vous embêtez pas (@emilbordon) 16 août 2016

Vous pensez peut-être que c'est un problème très rare, mais on estime que 30% des sites Web de commerce électronique utilisent cette méthode pour: “garantir” vos données - en fait, tout un blog est consacré à la mise en évidence de ces délinquants! Jusqu'à l'année dernière, même la LNH stockait les mots de passe de cette manière, tout comme Adobe avant une violation majeure..

De manière choquante, entreprise de protection antivirus, McAfee utilise également du texte brut.

Un moyen simple de savoir si un site l'utilise est le suivant: si, juste après votre inscription, vous recevez un e-mail contenant les informations de connexion. Très risqué. Dans ce cas, vous pouvez modifier n'importe quel site avec le même mot de passe et contacter l'entreprise pour l'avertir que leur sécurité est préoccupante..

Cela ne signifie pas nécessairement qu'ils les stockent sous forme de texte brut, mais c'est un bon indicateur - et ils ne devraient vraiment pas envoyer ce genre de chose de toute façon dans les courriels. Ils peuvent faire valoir qu'ils ont des pare-feu et al. pour se protéger contre les cybercriminels, mais rappelez-leur qu'aucun système n'est irréprochable et ne craignez pas de perdre des clients devant eux.

Ils vont bientôt changer d'avis. Espérons…

Pas aussi bon que ça en a l'air: chiffrement

Alors, que font ces sites??

Beaucoup se tourneront vers le cryptage. Nous en avons tous entendu parler: une manière apparemment impénétrable de brouiller vos informations, de les rendre illisibles jusqu'à ce que deux clés - l'une détenue par vous (c'est votre identifiant), et l'autre par la société en question - soient présentées. C'est une excellente idée que vous devriez même mettre en œuvre sur votre smartphone. 7 raisons de chiffrer les données de votre smartphone 7 raisons de chiffrer les données de votre smartphone Encodez-vous votre appareil? Tous les principaux systèmes d'exploitation pour smartphones offrent le cryptage des appareils, mais devriez-vous l'utiliser? Voici pourquoi le cryptage sur un smartphone en vaut la peine et n’affectera pas la façon dont vous utilisez votre smartphone. Lire plus et autres appareils.

Internet fonctionne sur le cryptage: lorsque HTTPS apparaît dans l'URL HTTPS Everywhere: utilisez HTTPS au lieu de HTTP lorsque possible HTTPS Everywhere: utilisez HTTPS au lieu de HTTP si possible Lire la suite, cela signifie que le site Web sur lequel vous vous trouvez utilise les services Secure Sockets. Couche (SSL) Qu'est-ce qu'un certificat SSL et en avez-vous besoin d'un? Qu'est-ce qu'un certificat SSL et en avez-vous besoin? Naviguer sur Internet peut être effrayant lorsque des informations personnelles sont impliquées. En savoir plus ou des protocoles TLS (Transport Layer Security) pour vérifier les connexions et geler les données. Comment la navigation Web devient encore plus sécurisée Comment la navigation Web devient encore plus sécurisée Mais les failles et les failles récentes peuvent avoir entamé votre confiance dans le protocole cryptographique. Heureusement, SSL est en train de s’adapter, d’être mis à niveau - voici comment. Lire la suite .

Mais malgré ce que vous avez entendu, ne croyez pas ces 5 mythes sur le cryptage! Ne croyez pas ces 5 mythes sur le cryptage! Le chiffrement semble complexe, mais est beaucoup plus simple que la plupart des gens ne le pensent. Néanmoins, vous pourriez vous sentir un peu trop dans le noir pour utiliser le cryptage, alors détruisons quelques mythes sur le cryptage! En savoir plus, le cryptage n'est pas parfait.

Whaddya signifie que mon mot de passe ne peut pas contenir d'espaces arrière ???

- Derek Klein (@rogue_analyst) 11 août 2016

Ce devrait être sûr, mais c'est aussi sûr que l'endroit où les clés sont stockées. Si un site Web protège votre clé (mot de passe) à l’aide de la leur, un pirate informatique peut exposer cette dernière afin de la trouver et de la déchiffrer. Pour trouver votre mot de passe, le voleur demande relativement peu d'effort. c'est pourquoi les bases de données clés sont une cible massive.

Fondamentalement, si leur clé est stockée sur le même serveur que le vôtre, votre mot de passe peut aussi bien être en texte brut. C’est pourquoi le site PlainTextOffenders susmentionné répertorie également les services qui utilisent un cryptage réversible..

Étonnamment simple (mais pas toujours efficace): hachage

Maintenant, nous allons quelque part. Le hachage des mots de passe ressemble à du jargon absurde Jargon technologique: apprendre 10 nouveaux mots récemment ajouté au dictionnaire [étrange et merveilleux Web] Jargon technique: apprendre 10 nouveaux mots récemment ajouté au dictionnaire [étrange et merveilleux Web] La technologie est à l'origine de nombreux nouveaux mots . Si vous êtes un geek et un amoureux des mots, vous adorerez ces dix logiciels ajoutés à la version en ligne du dictionnaire Oxford English Dictionary. Lisez plus, mais c'est simplement une forme de cryptage plus sécurisée.

Au lieu de stocker votre mot de passe sous forme de texte brut, un site l'exécute au moyen d'une fonction de hachage, telle que MD5 Ce que tout cela MD5 signifie en réalité [Technologie expliquée] Ce que tout ce que MD5 Hache substance signifie réellement [Technologie expliquée] Voici un aperçu complet de MD5, le hachage et un petit aperçu des ordinateurs et de la cryptographie. En savoir plus, SHA (-1), ou SHA-256, qui le transforme en un ensemble de chiffres totalement différent; il peut s'agir de chiffres, de lettres ou de tout autre caractère. Votre mot de passe pourrait être IH3artMU0. Cela pourrait se transformer en 7dVq $ @ ihT, et si un pirate informatique s'introduit dans une base de données, c'est tout ce qu'il peut voir. Et cela ne fonctionne que dans un sens. Vous ne pouvez pas le décoder.

Malheureusement, ce n'est pas cette garantir. C'est mieux que le texte brut, mais c'est toujours assez standard pour les cybercriminels. La clé est qu'un mot de passe spécifique produit un hachage spécifique. Il y a une bonne raison à cela: chaque fois que vous vous connectez avec le mot de passe IH3artMU0, il transmet automatiquement cette fonction de hachage et le site Web vous permet d'accéder si ce hachage et celui de la base de données du site correspondent..

Cela signifie également que les pirates ont développé des tables arc-en-ciel, une liste de hachages, déjà utilisés par d’autres comme mots de passe, qu’un système sophistiqué peut exécuter rapidement comme une attaque en force. Que sont les attaques par force brute et comment vous protéger? Que sont les attaques par force brute et comment vous protéger? Vous avez probablement entendu l'expression "attaque par force brute". Mais qu'est ce que cela veut dire exactement? Comment ça marche? Et comment pouvez-vous vous protéger contre cela? Voici ce que vous devez savoir. Lire la suite . Si vous avez choisi un mot de passe incroyablement mauvais 25 Mots de passe à éviter, utilisez WhatsApp gratuitement… [Tech News Digest] 25 Mots de passe à éviter, utilisez WhatsApp gratuitement… [Tech News Digest] Les gens continuent d'utiliser des mots de passe terribles, WhatsApp est maintenant totalement gratuit, AOL envisage de changer de nom, Valve approuve un jeu créé par des fans de Half-Life et The Boy With a Camera for a Face. Lire la suite, cela sera haut sur les tables arc-en-ciel et pourrait être facilement fissuré; les plus obscurs - combinaisons particulièrement étendues - prendront plus de temps.

Comment peut-il être mauvais? En 2012, LinkedIn avait piraté ce que vous devez savoir sur la fuite massive de comptes LinkedIn Ce que vous devez savoir sur la fuite massive de comptes LinkedIn Un pirate vend 117 millions d’informations d’identité LinkedIn piratées sur le Web sombre pour environ 2 200 $ en Bitcoin. Kevin Shabazi, PDG et fondateur de LogMeOnce, nous aide à comprendre exactement ce qui est à risque. Lire la suite . Les adresses électroniques et les hachages correspondants ont été divulgués. Cela représente 177,5 millions de hachages, touchant 164,6 millions d'utilisateurs. Vous pensez peut-être que ce n'est pas une préoccupation majeure: ce ne sont que des chiffres aléatoires. Assez indéchiffrable, non? Deux craquelins professionnels ont décidé de prélever un échantillon de 6,4 millions de hachages et de voir ce qu'ils pouvaient faire..

Ils ont craqué 90% d'entre eux en un peu moins d'une semaine.

Aussi bon que possible: salage et hachages lents

Mythbusters: Un conseil de sécurité dangereux, vous ne devriez pas suivre Mythbusters: Un conseil de sécurité dangereux, vous ne devriez pas suivre Lorsqu'il est question de sécurité Internet, tout le monde et son cousin ont le conseil de vous proposer les meilleurs logiciels pour installer des sites douteux. Pour rester à l’écart des meilleures pratiques en matière de… En savoir plus - les pirates informatiques s’efforceront naturellement de casser tout nouveau système de sécurité - mais les techniques plus robustes mises en œuvre par les sites les plus sécurisés Avec votre mot de passe Vous êtes-vous déjà demandé comment les sites Web protègent votre mot de passe contre les violations de données? En savoir plus sont des hashes plus intelligents.

Les hachages salés sont basés sur la pratique d'un nonce cryptographique, un ensemble de données aléatoires généré pour chaque mot de passe individuel, généralement très long et très complexe. Ces chiffres supplémentaires sont ajoutés au début ou à la fin d'un mot de passe (ou d'une combinaison adresse-mot de passe) avant qu'il ne passe par la fonction de hachage, afin de lutter contre les tentatives faites à l'aide de tables arc-en-ciel..

En général, peu importe si les sels sont stockés sur les mêmes serveurs que les hachages; Casser un ensemble de mots de passe peut prendre énormément de temps pour les pirates informatiques, encore plus difficile si votre mot de passe lui-même est excessif et compliqué. 6 Conseils pour créer un mot de passe indestructible dont vous vous souviendrez pas unique et incassable, vous pourriez aussi bien ouvrir la porte et inviter les voleurs à déjeuner. Lire la suite . C'est pourquoi vous devez toujours utiliser un mot de passe fort, quelle que soit votre confiance en la sécurité d'un site..

Les sites Web qui prennent leur sécurité et, par extension, votre sécurité particulièrement au sérieux, se tournent de plus en plus vers les hachages lents. Les fonctions de hachage les plus connues (MD5, SHA-1 et SHA-256) existent depuis longtemps et sont largement utilisées car elles sont relativement faciles à mettre en œuvre et permettent d'appliquer des hachages très rapidement..

Traitez votre mot de passe comme une brosse à dents, changez-le régulièrement et ne le partagez pas.!

- Anti-Bullying Pro (de l'association caritative The Diana Award) (@AntiBullyingPro) 13 août 2016

Tout en appliquant des sels, les hachages lents sont encore meilleurs pour lutter contre les attaques basées sur la vitesse; en limitant le nombre de tentatives de piratage par seconde, il leur faut plus de temps pour résoudre les problèmes, ce qui rend les tentatives moins rentables, compte tenu également du taux de réussite plus bas. Les cybercriminels doivent se demander s’il vaut la peine de s’attaquer aux systèmes de hachage lent qui prennent beaucoup de temps par rapport aux autres systèmes. “réparations rapides”: les institutions médicales ont généralement moins de sécurité 5 raisons pour lesquelles le vol d'identité médical augmente 5 raisons pour lesquelles le vol d'identité médical augmente Les fraudeurs veulent vos informations personnelles et vos informations de compte bancaire - mais saviez-vous que vos dossiers médicaux les intéressent également? Découvrez ce que vous pouvez faire à ce sujet. En savoir plus, par exemple, pour que les données pouvant être obtenues à partir de ce site puissent encore être vendues pour des sommes surprenantes. Voici ce que votre identité pourrait valoir sur le Web sombre Voici ce que votre identité pourrait mériter sur le Web sombre Il est mal à l'aise de penser de vous-même comme une marchandise, mais tous vos détails personnels, du nom et adresse aux détails de compte bancaire, valent quelque chose pour les criminels en ligne. Combien valez-vous? Lire la suite .

C'est également très adaptatif: si un système est soumis à des contraintes particulières, il peut ralentir encore plus. Coda Hale, l'ancien développeur de logiciel principal de Microsoft, compare MD5 à peut-être la fonction de hachage lente la plus notable, bcrypt (d'autres incluent PBKDF-2 et scrypt):

“Au lieu de déchiffrer un mot de passe toutes les 40 secondes [comme avec MD5], je le craquerais tous les 12 ans environ (lorsqu'un système utilise bcrypt). Vos mots de passe n'ont peut-être pas besoin de ce type de sécurité et vous avez besoin d'un algorithme de comparaison plus rapide, mais bcrypt vous permet de choisir votre équilibre entre vitesse et sécurité..”

Et puisqu'un hachage lent peut toujours être mis en œuvre en moins d'une seconde, les utilisateurs ne devraient pas être affectés.

Pourquoi est-ce important?

Lorsque nous utilisons un service en ligne, nous concluons un contrat de confiance. Vous devez être en sécurité sachant que vos informations personnelles sont conservées en sécurité..

"Mon ordinateur portable est configuré pour prendre une photo après trois tentatives de mot de passe incorrect" pic.twitter.com/yBNzPjnMA2

- Les chats dans l'espace (@CatsLoveSpace) 16 août 2016

Stocker votre mot de passe en toute sécurité Le guide complet pour simplifier et sécuriser votre vie avec LastPass et Xmarks Le guide complet pour simplifier et sécuriser votre vie avec LastPass et Xmarks Alors que le cloud vous permet d’accéder facilement à vos informations importantes où que vous soyez, cela signifie avoir beaucoup de mots de passe pour garder une trace. C'est pourquoi LastPass a été créé. Lire plus est particulièrement important. Malgré de nombreux avertissements, nous utilisons souvent le même site pour différents sites. Par exemple, en cas de violation de Facebook, votre Facebook a-t-il été piraté? Voici comment savoir (et y remédier) votre Facebook a-t-il été piraté? Voici comment savoir (et y remédier) Il existe des mesures que vous pouvez utiliser pour éviter d'être piraté sur Facebook, et des actions que vous pouvez effectuer si votre Facebook se fait pirater. En savoir plus, vos informations de connexion pour tous les sites que vous fréquentez en utilisant le même mot de passe peuvent également constituer un livre ouvert pour les cybercriminels..

Avez-vous découvert des délinquants en texte brut? A quels sites faites-vous confiance implicitement? Selon vous, quelle est la prochaine étape pour le stockage sécurisé des mots de passe?

Crédits d'image: Africa Studio / Shutterstock, Mots de passe incorrects de Lulu Hoeller; Connexion par Automobile Italia; Fichiers de mots de passe Linux de Christiaan Colen; et salière de Karyn Christner.

En savoir plus sur: cryptage, confidentialité en ligne, sécurité en ligne.