Quel est le problème et pourquoi est-ce important?
En octobre de cette année, Adobe a révélé qu’une faille de sécurité majeure avait touché 3 millions d’utilisateurs des logiciels Adobe.com et Adobe. Ensuite, ils ont révisé le nombre à 38 millions. Puis, ce qui est encore plus choquant, lorsque la base de données du piratage a été divulguée, les chercheurs en sécurité qui ont analysé la base de données sont revenus et ont dit que cela ressemblait davantage à 150 millions comptes d'utilisateurs compromis. Ce degré d'exposition des utilisateurs fait de la faille Adobe une des pires atteintes à la sécurité de l'histoire.
Cependant, Adobe n’est guère seul sur ce front; nous avons simplement ouvert avec leur brèche car elle est douloureusement récente. Au cours des dernières années seulement, il y a eu des dizaines d'infractions de sécurité massives au cours desquelles les informations des utilisateurs, y compris les mots de passe, ont été compromises.
LinkedIn a été touché en 2012 (6,46 millions d'enregistrements d'utilisateur compromis). La même année, eHarmony a été touché (1,5 million d’utilisateurs) tout comme Last.fm (6,5 millions d’enregistrements) et Yahoo! (450 000 enregistrements d’utilisateur). Le Sony Playstation Network a été touché en 2011 (101 millions d'enregistrements d'utilisateurs compromis). Gawker Media (la société mère de sites tels que Gizmodo et Lifehacker) a été touché en 2010 (1,3 million d’enregistrements d’utilisateurs compromis). Et ce ne sont là que des exemples de grands manquements qui ont fait la une!
Le Privacy Rights Clearinghouse maintient une base de données sur les atteintes à la sécurité de 2005 à nos jours. Leur base de données comprend un large éventail de types de violation: cartes de crédit compromises, numéros de sécurité sociale volés, mots de passe volés et dossiers médicaux. La base de données, à compter de la publication de cet article, est composée de 4 033 infractions contenant 617 937 023 enregistrements d'utilisateurs. Chacune de ces centaines de millions d'infractions ne comportait pas de mots de passe utilisateur, mais des millions et des millions d'entre elles le faisaient.
Alors pourquoi est-ce important? Outre les conséquences évidentes et immédiates d'une violation, les violations créent des dommages collatéraux. Les pirates peuvent immédiatement commencer à tester les identifiants de connexion et les mots de passe collectés sur d’autres sites Web.
La plupart des gens sont paresseux avec leurs mots de passe et il y a de fortes chances que si quelqu'un utilise [email protected] avec le mot de passe bob1979, le même couple login / mot de passe fonctionne sur d'autres sites Web. Si ces autres sites Web ont un profil plus élevé (comme les sites bancaires ou si le mot de passe qu’il a utilisé chez Adobe déverrouille réellement sa boîte de réception), il ya alors un problème. Une fois que quelqu'un a accès à votre boîte de messagerie, il peut commencer à réinitialiser le mot de passe sur d'autres services et à y accéder également.
Le seul moyen d'éviter que ce type de réaction en chaîne ne cause encore plus de problèmes de sécurité au sein du réseau de sites Web et de services que vous utilisez est de suivre deux règles essentielles d'une bonne hygiène du mot de passe:
- Votre mot de passe de messagerie doit être long, fort et totalement unique parmi toutes vos connexions.
- Chaque login obtient un mot de passe long, fort et unique. Aucune réutilisation de mot de passe. Déjà.
Ces deux règles sont le fruit de tous les guides de sécurité que nous avons partagés avec vous, y compris notre guide des urgences: Comment récupérer après que votre mot de passe d'email soit compromis.
Maintenant, à ce stade, vous vous disputez probablement un peu parce que, franchement, presque personne n’a les pratiques et la sécurité des mots de passe parfaitement étanches. Vous n'êtes pas seul si votre mot de passe manque d'hygiène. En fait, il est temps de faire une confession.
J’ai écrit des dizaines d’articles sur la sécurité, des articles sur les atteintes à la sécurité et d’autres articles sur les mots de passe au cours des années passées à How-To Geek. Bien que ce soit précisément le genre de personne informée qui devrait savoir mieux, malgré l'utilisation d'un gestionnaire de mot de passe et la génération de mots de passe sécurisés pour chaque nouveau site Web et nouveau service, lorsque je passais mon courrier électronique dans la liste des connexions Adobe compromises et encore découvert que j'avais été brûlé.
J'ai créé ce compte Adobe il y a longtemps quand j'étais beaucoup plus laxiste avec mon mot de passe en matière d'hygiène et que le mot de passe que j'avais utilisé était commun à tous les utilisateurs. douzaines de sites Web et de services auxquels je m'étais inscrit avant de prendre au sérieux la possibilité de créer de bons mots de passe.
Tout cela aurait pu être évité si j’avais pleinement pratiqué ce que j’avais prêché et non pas créé des mots de passe uniques et forts, mais également vérifié mes anciens mots de passe pour s'assurer que cette situation ne se produisait jamais. Que vous n’ayez jamais essayé d’être cohérent et sûr avec vos pratiques en matière de mots de passe ou que vous deviez simplement les vérifier pour vous mettre à l’aise, un audit approfondi des mots de passe est le chemin qui mène à la sécurité des mots de passe et à la tranquillité d’esprit. Continuez à lire pendant que nous vous montrons comment.
Préparer votre défi de sécurité Lastpass
Ce guide ne couvre pas la configuration de LastPass. Par conséquent, si vous n’avez pas déjà installé de système LastPass, nous vous encourageons vivement à en installer un. Consultez le Guide HTG pour Commencer à utiliser LastPass pour commencer. Bien que LastPass ait été mis à jour depuis la rédaction du guide (l’interface est beaucoup plus jolie et mieux simplifiée à présent), vous pouvez toujours suivre les étapes avec facilité. Si vous configurez LastPass pour la première fois, veillez à importertout vos mots de passe stockés dans vos navigateurs, car notre objectif est de vérifier chaque mot de passe que vous utilisez.
Entrez chaque nom d'utilisateur et mot de passe dans LastPass:Que vous soyez nouveau sur LastPass ou que vous ne l'utilisiez pas pleinement à chaque connexion, le moment est venu de vous assurer que vous avez bien entréchaque connectez-vous au système LastPass. Nous allons faire écho aux conseils que nous avons donnés dans notre guide de récupération d’e-mail pour la composition de votre boîte de réception pour les rappels:
Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinations there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.
Activez l'authentification à deux facteurs sur votre compte LastPass: Cette étape n’est pas strictement nécessaire pour effectuer l’audit de sécurité, mais tant que nous retiendrons votre attention, nous ferons tout ce qui est en notre pouvoir pour vous encourager à activer votre authentification à deux facteurs pendant que vous traitez votre compte LastPass. sécuriser davantage votre coffre-fort LastPass. (Non seulement cela augmente la sécurité de votre compte, mais vous augmentez également votre score d’audit de sécurité!)
Relever le défi de sécurité LastPass
LastPass émettra une seule alerte de sécurité pour chaque instance. Si vous avez votre adresse e-mail depuis longtemps, préparez-vous à être choquée par le nombre de violations de mot de passe qui ont été confisquées. Voici un exemple d'avis de violation de mot de passe:
Prochain arrêt, la section Sites analysés. Vous y trouverez une ventilation très concrète de tous vos identifiants de connexion et mots de passe, classés par mot de passe dupliqué (si vous en avez dupliqué), par mot de passe unique et, enfin, par identifiant sans mot de passe stocké dans LastPass. Pendant que vous parcourez la liste, émerveillez-vous du contraste entre la force des mots de passe. Dans mon cas, un de mes identifiants financiers a reçu un score de mot de passe de 45%, tandis que le login de ma fille, Minecraft, avait obtenu un score parfait de 100%. Encore une fois, aïe.
Correction de votre score de défi Terrible Security
En fonction du nombre ou du nombre de mots de passe que vous possédez (et du degré de diligence dont vous avez fait preuve en matière de bonnes pratiques en matière de mots de passe), cette étape du processus peut prendre dix minutes ou toute l'après-midi. Bien que le processus de modification de vos mots de passe varie en fonction de la disposition du site que vous mettez à jour, voici quelques instructions générales à suivre (nous utilisons notre mise à jour de mot de passe à Remember the Milk comme exemple): Visitez la page de modification du mot de passe.. En règle générale, vous devrez saisir votre mot de passe actuel, puis générer un nouveau mot de passe.
Enfin, la dernière chose à vérifier est votre mot de passe principal LastPass. Pour ce faire, cliquez sur le lien au bas de l'écran du défi intitulé «Testez la force de mon mot de passe principal LastPass». Si vous ne voyez pas ceci:
Surveiller les résultats et améliorer encore votre sécurité LastPass
Une fois que vous avez parcouru la liste des mots de passe en double, supprimé les anciennes entrées et que vous avez bien rangé et sécurisé votre liste de noms d’utilisateur / de mots de passe, il est temps de réexécuter l’audit. Maintenant, pour souligner, le score que vous voyez ci-dessous a été créé uniquement en améliorant la sécurité des mots de passe. (Si vous activez des fonctionnalités de sécurité supplémentaires, telles que l’authentification multifacteur, vous recevrez un boost d’environ 10%).
Dans de tels cas, il est important de ne pas vous décourager et d’utiliser votre ventilation détaillée comme métrique:
Cela n'a pris qu'environ une heure de temps bien ciblé (dont 12,4% ont été consacrés à maudire les concepteurs de sites Web qui ont mis des liens de mise à jour de mot de passe dans des endroits obscurs), et tout ce qu'il fallait pour me motiver était une violation de mot de passe d'une ampleur catastrophique! Je fais une note ici, un énorme succès.
Maintenant que vous avez audité vos mots de passe et que vous êtes persuadé de disposer d’une réserve de mots de passe uniques, tirons parti de cet élan. Consultez notre guide pour faire LastPassmême plus sécurisée en augmentant le nombre d'itérations de mots de passe, en limitant le nombre de connexions par pays, etc. Entre l'exécution de l'audit que nous avons décrit ci-après, le guide de sécurité LastPass et l'activation d'algorithmes à deux facteurs, vous disposez d'un système de gestion des mots de passe à toute épreuve dont vous pouvez être fier.