Comment exécuter un audit de sécurité de dernier passage (et pourquoi cela ne peut pas attendre)

Table des matières:

Comment exécuter un audit de sécurité de dernier passage (et pourquoi cela ne peut pas attendre)
Comment exécuter un audit de sécurité de dernier passage (et pourquoi cela ne peut pas attendre)

Vidéo: Comment exécuter un audit de sécurité de dernier passage (et pourquoi cela ne peut pas attendre)

Vidéo: Comment exécuter un audit de sécurité de dernier passage (et pourquoi cela ne peut pas attendre)
Vidéo: Suppression des reseaux Wifi sous Windows 8 1 - YouTube 2024, Avril
Anonim
Si vous pratiquez la gestion des mots de passe et l’hygiène laxiste, ce n’est qu’une question de temps avant que l’une des nombreuses violations de sécurité à grande échelle ne vous brûle. Arrêtez d'être reconnaissant d'avoir esquivé les balles des violations de la sécurité passées et protégez-vous des futures. Continuez à lire pendant que nous vous montrons comment vérifier vos mots de passe et vous protéger.
Si vous pratiquez la gestion des mots de passe et l’hygiène laxiste, ce n’est qu’une question de temps avant que l’une des nombreuses violations de sécurité à grande échelle ne vous brûle. Arrêtez d'être reconnaissant d'avoir esquivé les balles des violations de la sécurité passées et protégez-vous des futures. Continuez à lire pendant que nous vous montrons comment vérifier vos mots de passe et vous protéger.

Quel est le problème et pourquoi est-ce important?

Image
Image

En octobre de cette année, Adobe a révélé qu’une faille de sécurité majeure avait touché 3 millions d’utilisateurs des logiciels Adobe.com et Adobe. Ensuite, ils ont révisé le nombre à 38 millions. Puis, ce qui est encore plus choquant, lorsque la base de données du piratage a été divulguée, les chercheurs en sécurité qui ont analysé la base de données sont revenus et ont dit que cela ressemblait davantage à 150 millions comptes d'utilisateurs compromis. Ce degré d'exposition des utilisateurs fait de la faille Adobe une des pires atteintes à la sécurité de l'histoire.

Cependant, Adobe n’est guère seul sur ce front; nous avons simplement ouvert avec leur brèche car elle est douloureusement récente. Au cours des dernières années seulement, il y a eu des dizaines d'infractions de sécurité massives au cours desquelles les informations des utilisateurs, y compris les mots de passe, ont été compromises.

LinkedIn a été touché en 2012 (6,46 millions d'enregistrements d'utilisateur compromis). La même année, eHarmony a été touché (1,5 million d’utilisateurs) tout comme Last.fm (6,5 millions d’enregistrements) et Yahoo! (450 000 enregistrements d’utilisateur). Le Sony Playstation Network a été touché en 2011 (101 millions d'enregistrements d'utilisateurs compromis). Gawker Media (la société mère de sites tels que Gizmodo et Lifehacker) a été touché en 2010 (1,3 million d’enregistrements d’utilisateurs compromis). Et ce ne sont là que des exemples de grands manquements qui ont fait la une!

Le Privacy Rights Clearinghouse maintient une base de données sur les atteintes à la sécurité de 2005 à nos jours. Leur base de données comprend un large éventail de types de violation: cartes de crédit compromises, numéros de sécurité sociale volés, mots de passe volés et dossiers médicaux. La base de données, à compter de la publication de cet article, est composée de 4 033 infractions contenant 617 937 023 enregistrements d'utilisateurs. Chacune de ces centaines de millions d'infractions ne comportait pas de mots de passe utilisateur, mais des millions et des millions d'entre elles le faisaient.

Alors pourquoi est-ce important? Outre les conséquences évidentes et immédiates d'une violation, les violations créent des dommages collatéraux. Les pirates peuvent immédiatement commencer à tester les identifiants de connexion et les mots de passe collectés sur d’autres sites Web.

La plupart des gens sont paresseux avec leurs mots de passe et il y a de fortes chances que si quelqu'un utilise [email protected] avec le mot de passe bob1979, le même couple login / mot de passe fonctionne sur d'autres sites Web. Si ces autres sites Web ont un profil plus élevé (comme les sites bancaires ou si le mot de passe qu’il a utilisé chez Adobe déverrouille réellement sa boîte de réception), il ya alors un problème. Une fois que quelqu'un a accès à votre boîte de messagerie, il peut commencer à réinitialiser le mot de passe sur d'autres services et à y accéder également.

Le seul moyen d'éviter que ce type de réaction en chaîne ne cause encore plus de problèmes de sécurité au sein du réseau de sites Web et de services que vous utilisez est de suivre deux règles essentielles d'une bonne hygiène du mot de passe:

  1. Votre mot de passe de messagerie doit être long, fort et totalement unique parmi toutes vos connexions.
  2. Chaque login obtient un mot de passe long, fort et unique. Aucune réutilisation de mot de passe. Déjà.

Ces deux règles sont le fruit de tous les guides de sécurité que nous avons partagés avec vous, y compris notre guide des urgences: Comment récupérer après que votre mot de passe d'email soit compromis.

Maintenant, à ce stade, vous vous disputez probablement un peu parce que, franchement, presque personne n’a les pratiques et la sécurité des mots de passe parfaitement étanches. Vous n'êtes pas seul si votre mot de passe manque d'hygiène. En fait, il est temps de faire une confession.

J’ai écrit des dizaines d’articles sur la sécurité, des articles sur les atteintes à la sécurité et d’autres articles sur les mots de passe au cours des années passées à How-To Geek. Bien que ce soit précisément le genre de personne informée qui devrait savoir mieux, malgré l'utilisation d'un gestionnaire de mot de passe et la génération de mots de passe sécurisés pour chaque nouveau site Web et nouveau service, lorsque je passais mon courrier électronique dans la liste des connexions Adobe compromises et encore découvert que j'avais été brûlé.

J'ai créé ce compte Adobe il y a longtemps quand j'étais beaucoup plus laxiste avec mon mot de passe en matière d'hygiène et que le mot de passe que j'avais utilisé était commun à tous les utilisateurs. douzaines de sites Web et de services auxquels je m'étais inscrit avant de prendre au sérieux la possibilité de créer de bons mots de passe.

Tout cela aurait pu être évité si j’avais pleinement pratiqué ce que j’avais prêché et non pas créé des mots de passe uniques et forts, mais également vérifié mes anciens mots de passe pour s'assurer que cette situation ne se produisait jamais. Que vous n’ayez jamais essayé d’être cohérent et sûr avec vos pratiques en matière de mots de passe ou que vous deviez simplement les vérifier pour vous mettre à l’aise, un audit approfondi des mots de passe est le chemin qui mène à la sécurité des mots de passe et à la tranquillité d’esprit. Continuez à lire pendant que nous vous montrons comment.

Préparer votre défi de sécurité Lastpass

Vous pouvez vérifier manuellement vos mots de passe, mais ce serait extrêmement fastidieux et vous ne tireriez aucun des avantages de l’utilisation d’un bon gestionnaire de mots de passe universel. Au lieu de tout vérifier manuellement, nous allons suivre la voie la plus simple et la plus automatisée: nous allons vérifier nos mots de passe en relevant le défi LastPass Security.
Vous pouvez vérifier manuellement vos mots de passe, mais ce serait extrêmement fastidieux et vous ne tireriez aucun des avantages de l’utilisation d’un bon gestionnaire de mots de passe universel. Au lieu de tout vérifier manuellement, nous allons suivre la voie la plus simple et la plus automatisée: nous allons vérifier nos mots de passe en relevant le défi LastPass Security.

Ce guide ne couvre pas la configuration de LastPass. Par conséquent, si vous n’avez pas déjà installé de système LastPass, nous vous encourageons vivement à en installer un. Consultez le Guide HTG pour Commencer à utiliser LastPass pour commencer. Bien que LastPass ait été mis à jour depuis la rédaction du guide (l’interface est beaucoup plus jolie et mieux simplifiée à présent), vous pouvez toujours suivre les étapes avec facilité. Si vous configurez LastPass pour la première fois, veillez à importertout vos mots de passe stockés dans vos navigateurs, car notre objectif est de vérifier chaque mot de passe que vous utilisez.

Entrez chaque nom d'utilisateur et mot de passe dans LastPass:Que vous soyez nouveau sur LastPass ou que vous ne l'utilisiez pas pleinement à chaque connexion, le moment est venu de vous assurer que vous avez bien entréchaque connectez-vous au système LastPass. Nous allons faire écho aux conseils que nous avons donnés dans notre guide de récupération d’e-mail pour la composition de votre boîte de réception pour les rappels:

Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinations there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.

Activez l'authentification à deux facteurs sur votre compte LastPass: Cette étape n’est pas strictement nécessaire pour effectuer l’audit de sécurité, mais tant que nous retiendrons votre attention, nous ferons tout ce qui est en notre pouvoir pour vous encourager à activer votre authentification à deux facteurs pendant que vous traitez votre compte LastPass. sécuriser davantage votre coffre-fort LastPass. (Non seulement cela augmente la sécurité de votre compte, mais vous augmentez également votre score d’audit de sécurité!)

Relever le défi de sécurité LastPass

Maintenant que vous avez importé tous vos mots de passe, il est temps de vous préparer à la honte de ne pas faire partie des 1% de ninjas de sécurité par mot de passe hardcore. Visitez la page LastPass Security Challenge et appuyez sur «Lancer le défi» au bas de la page. Vous serez invité à saisir votre mot de passe principal, comme indiqué dans la capture d'écran ci-dessus. LastPass vous proposera ensuite de vérifier si l'une des adresses e-mail contenues dans votre coffre-fort faisait partie des violations détectées. Il n’ya aucune bonne raison de ne pas en profiter:
Maintenant que vous avez importé tous vos mots de passe, il est temps de vous préparer à la honte de ne pas faire partie des 1% de ninjas de sécurité par mot de passe hardcore. Visitez la page LastPass Security Challenge et appuyez sur «Lancer le défi» au bas de la page. Vous serez invité à saisir votre mot de passe principal, comme indiqué dans la capture d'écran ci-dessus. LastPass vous proposera ensuite de vérifier si l'une des adresses e-mail contenues dans votre coffre-fort faisait partie des violations détectées. Il n’ya aucune bonne raison de ne pas en profiter:
Si vous avez de la chance, le résultat est négatif. Si vous êtes chanceux, vous obtenez une fenêtre contextuelle comme celle-ci vous demandant si vous souhaitez plus d'informations sur les violations de votre courrier électronique:
Si vous avez de la chance, le résultat est négatif. Si vous êtes chanceux, vous obtenez une fenêtre contextuelle comme celle-ci vous demandant si vous souhaitez plus d'informations sur les violations de votre courrier électronique:
Image
Image

LastPass émettra une seule alerte de sécurité pour chaque instance. Si vous avez votre adresse e-mail depuis longtemps, préparez-vous à être choquée par le nombre de violations de mot de passe qui ont été confisquées. Voici un exemple d'avis de violation de mot de passe:

Après les fenêtres contextuelles, vous serez vidé dans le panneau principal du LastPass Security Challenge. Rappelez-vous, plus tôt dans le guide, lorsque j’ai expliqué comment je pratique actuellement une bonne hygiène des mots de passe, mais que je n’ai jamais réussi à mettre à jour correctement de nombreux sites et services Web plus anciens. Cela se voit vraiment dans le score que j'ai reçu. Aie:
Après les fenêtres contextuelles, vous serez vidé dans le panneau principal du LastPass Security Challenge. Rappelez-vous, plus tôt dans le guide, lorsque j’ai expliqué comment je pratique actuellement une bonne hygiène des mots de passe, mais que je n’ai jamais réussi à mettre à jour correctement de nombreux sites et services Web plus anciens. Cela se voit vraiment dans le score que j'ai reçu. Aie:
C’est mon score avec des années de mots de passe aléatoires mélangés. Ne soyez pas trop choqué si votre score est encore plus bas si vous avez utilisé la même poignée de mots de passe faibles, encore et encore. Maintenant que nous avons notre score (si impressionnant ou honteux qu’il soit), il est temps de fouiller dans les données. Vous pouvez utiliser les liens rapides en regard du pourcentage de votre score ou simplement commencer à faire défiler. Premier arrêt, vérifions les résultats détaillés. Considérez ceci comme un aperçu de l’état de vos mots de passe:
C’est mon score avec des années de mots de passe aléatoires mélangés. Ne soyez pas trop choqué si votre score est encore plus bas si vous avez utilisé la même poignée de mots de passe faibles, encore et encore. Maintenant que nous avons notre score (si impressionnant ou honteux qu’il soit), il est temps de fouiller dans les données. Vous pouvez utiliser les liens rapides en regard du pourcentage de votre score ou simplement commencer à faire défiler. Premier arrêt, vérifions les résultats détaillés. Considérez ceci comme un aperçu de l’état de vos mots de passe:
Si vous devez faire attention à toutes les statistiques ici, les plus importantes sont “Force du mot de passe moyen”, la faiblesse ou la force de votre mot de passe moyen et, encore plus important, “Nombre de mots de passe en double” et “Nombre de sites ayant des mots de passe en double”. Dans le cadre de mon audit, il y avait 8 dupes sur 43 sites. Clairement, j'avais été assez paresseux en réutilisant le même mot de passe de bas niveau sur plusieurs sites.
Si vous devez faire attention à toutes les statistiques ici, les plus importantes sont “Force du mot de passe moyen”, la faiblesse ou la force de votre mot de passe moyen et, encore plus important, “Nombre de mots de passe en double” et “Nombre de sites ayant des mots de passe en double”. Dans le cadre de mon audit, il y avait 8 dupes sur 43 sites. Clairement, j'avais été assez paresseux en réutilisant le même mot de passe de bas niveau sur plusieurs sites.

Prochain arrêt, la section Sites analysés. Vous y trouverez une ventilation très concrète de tous vos identifiants de connexion et mots de passe, classés par mot de passe dupliqué (si vous en avez dupliqué), par mot de passe unique et, enfin, par identifiant sans mot de passe stocké dans LastPass. Pendant que vous parcourez la liste, émerveillez-vous du contraste entre la force des mots de passe. Dans mon cas, un de mes identifiants financiers a reçu un score de mot de passe de 45%, tandis que le login de ma fille, Minecraft, avait obtenu un score parfait de 100%. Encore une fois, aïe.

Correction de votre score de défi Terrible Security

Deux liens très utiles sont directement intégrés aux listes d’audits. Si vous cliquez sur "SHOW", il vous indiquera le mot de passe pour ce site et si vous cliquez sur "Visiter le site", vous pouvez accéder directement au site Web afin de pouvoir changer le mot de passe. Non seulement chaque mot de passe dupliqué devrait-il être changé, mais tout mot de passe associé à un compte enfreint (tel que Adobe.com ou LinkedIn) devrait être définitivement supprimé.
Deux liens très utiles sont directement intégrés aux listes d’audits. Si vous cliquez sur "SHOW", il vous indiquera le mot de passe pour ce site et si vous cliquez sur "Visiter le site", vous pouvez accéder directement au site Web afin de pouvoir changer le mot de passe. Non seulement chaque mot de passe dupliqué devrait-il être changé, mais tout mot de passe associé à un compte enfreint (tel que Adobe.com ou LinkedIn) devrait être définitivement supprimé.

En fonction du nombre ou du nombre de mots de passe que vous possédez (et du degré de diligence dont vous avez fait preuve en matière de bonnes pratiques en matière de mots de passe), cette étape du processus peut prendre dix minutes ou toute l'après-midi. Bien que le processus de modification de vos mots de passe varie en fonction de la disposition du site que vous mettez à jour, voici quelques instructions générales à suivre (nous utilisons notre mise à jour de mot de passe à Remember the Milk comme exemple): Visitez la page de modification du mot de passe.. En règle générale, vous devrez saisir votre mot de passe actuel, puis générer un nouveau mot de passe.

Faites-le en cliquant sur le logo lock-with-circular-arrow.LastPass s'insère dans le nouvel emplacement de mot de passe (comme illustré dans la capture d'écran ci-dessus). Examinez votre nouveau mot de passe et apportez les modifications nécessaires (par exemple, en l’allongeant ou en ajoutant des caractères spéciaux):
Faites-le en cliquant sur le logo lock-with-circular-arrow.LastPass s'insère dans le nouvel emplacement de mot de passe (comme illustré dans la capture d'écran ci-dessus). Examinez votre nouveau mot de passe et apportez les modifications nécessaires (par exemple, en l’allongeant ou en ajoutant des caractères spéciaux):
Cliquez sur "Utiliser le mot de passe" puis confirmez que vous souhaitez mettre à jour l'entrée que vous modifiez:
Cliquez sur "Utiliser le mot de passe" puis confirmez que vous souhaitez mettre à jour l'entrée que vous modifiez:
Assurez-vous de confirmer le changement avec le site Web aussi. Répétez le processus pour chaque mot de passe dupliqué et faible dans votre coffre-fort LastPass.
Assurez-vous de confirmer le changement avec le site Web aussi. Répétez le processus pour chaque mot de passe dupliqué et faible dans votre coffre-fort LastPass.

Enfin, la dernière chose à vérifier est votre mot de passe principal LastPass. Pour ce faire, cliquez sur le lien au bas de l'écran du défi intitulé «Testez la force de mon mot de passe principal LastPass». Si vous ne voyez pas ceci:

Vous devez réinitialiser votre mot de passe principal LastPass et augmenter la force jusqu'à ce que vous receviez une confirmation positive et positive de 100%.
Vous devez réinitialiser votre mot de passe principal LastPass et augmenter la force jusqu'à ce que vous receviez une confirmation positive et positive de 100%.

Surveiller les résultats et améliorer encore votre sécurité LastPass

Une fois que vous avez parcouru la liste des mots de passe en double, supprimé les anciennes entrées et que vous avez bien rangé et sécurisé votre liste de noms d’utilisateur / de mots de passe, il est temps de réexécuter l’audit. Maintenant, pour souligner, le score que vous voyez ci-dessous a été créé uniquement en améliorant la sécurité des mots de passe. (Si vous activez des fonctionnalités de sécurité supplémentaires, telles que l’authentification multifacteur, vous recevrez un boost d’environ 10%).

Pas mal! Après avoir éliminé chaque mot de passe dupliqué et porté tous les mots de passe existants à 90% ou plus, cela a vraiment amélioré notre score. Si vous êtes curieux de savoir pourquoi cela n’a pas atteint 100%, quelques facteurs entrent en jeu, le plus important étant que certains mots de passe ne peuvent jamais être remplacés par les normes LastPass en raison des politiques stupides mises en place par les utilisateurs. administrateurs de site. Par exemple, le mot de passe de connexion de ma bibliothèque locale est une NIP à quatre chiffres (ce qui correspond à 4% sur l’échelle de sécurité LastPass). La plupart des gens auront une sorte de valeurs aberrantes de ce type dans leur liste et cela réduira leur score.
Pas mal! Après avoir éliminé chaque mot de passe dupliqué et porté tous les mots de passe existants à 90% ou plus, cela a vraiment amélioré notre score. Si vous êtes curieux de savoir pourquoi cela n’a pas atteint 100%, quelques facteurs entrent en jeu, le plus important étant que certains mots de passe ne peuvent jamais être remplacés par les normes LastPass en raison des politiques stupides mises en place par les utilisateurs. administrateurs de site. Par exemple, le mot de passe de connexion de ma bibliothèque locale est une NIP à quatre chiffres (ce qui correspond à 4% sur l’échelle de sécurité LastPass). La plupart des gens auront une sorte de valeurs aberrantes de ce type dans leur liste et cela réduira leur score.

Dans de tels cas, il est important de ne pas vous décourager et d’utiliser votre ventilation détaillée comme métrique:

Lors du processus de mise à jour des mots de passe, j'ai supprimé 17 sites dupliqués / expirés, créé un mot de passe unique pour chaque site et service, et ramené le nombre de sites avec des mots de passe dupliqués de 43 à 0.
Lors du processus de mise à jour des mots de passe, j'ai supprimé 17 sites dupliqués / expirés, créé un mot de passe unique pour chaque site et service, et ramené le nombre de sites avec des mots de passe dupliqués de 43 à 0.

Cela n'a pris qu'environ une heure de temps bien ciblé (dont 12,4% ont été consacrés à maudire les concepteurs de sites Web qui ont mis des liens de mise à jour de mot de passe dans des endroits obscurs), et tout ce qu'il fallait pour me motiver était une violation de mot de passe d'une ampleur catastrophique! Je fais une note ici, un énorme succès.

Maintenant que vous avez audité vos mots de passe et que vous êtes persuadé de disposer d’une réserve de mots de passe uniques, tirons parti de cet élan. Consultez notre guide pour faire LastPassmême plus sécurisée en augmentant le nombre d'itérations de mots de passe, en limitant le nombre de connexions par pays, etc. Entre l'exécution de l'audit que nous avons décrit ci-après, le guide de sécurité LastPass et l'activation d'algorithmes à deux facteurs, vous disposez d'un système de gestion des mots de passe à toute épreuve dont vous pouvez être fier.

Conseillé:

Les correctifs Windows Spectre sont là, mais vous voudrez peut-être attendre

Les correctifs Windows Spectre sont là, mais vous voudrez peut-être attendre

Pour protéger complètement votre PC contre Spectre, vous devez disposer d'un microcode de processeur Intel mis à jour. Ceci est normalement fourni par le fabricant de votre ordinateur via une mise à jour du microprogramme UEFI, mais Microsoft propose désormais un correctif facultatif avec le nouveau microcode.

Comment signer pour un forfait en ligne (pour ne pas avoir à attendre chez soi)

Comment signer pour un forfait en ligne (pour ne pas avoir à attendre chez soi)

Vous n’avez pas besoin d’attendre chez vous pour signer un colis - même si vous avez un colis en cours de route qui nécessite une signature. UPS et FedEx vous permettent tous les deux de signer de nombreux colis en ligne, et le service postal des États-Unis vous permet également d’autoriser des livraisons qui pourraient ne pas se produire si vous n’êtes pas présent.

Pourquoi redémarrer votre routeur résout tant de problèmes (et pourquoi vous devez attendre 10 secondes)

Pourquoi redémarrer votre routeur résout tant de problèmes (et pourquoi vous devez attendre 10 secondes)

Internet est en panne, mais vous savez quoi faire: débranchez votre routeur ou votre modem, attendez dix secondes, puis rebranchez-le. C’est une seconde nature, mais pourquoi fonctionne-t-il réellement? Et y a-t-il de la magie dans le chiffre des dix secondes?

Fonctionnement de la Nintendo NES Zapper et pourquoi cela ne fonctionne pas sur les téléviseurs haute définition

Fonctionnement de la Nintendo NES Zapper et pourquoi cela ne fonctionne pas sur les téléviseurs haute définition

Le fait que votre ancien système de divertissement Nintendo soit encore en vie ne signifie pas qu’il peut jouer efficacement avec la technologie moderne. Nous explorons aujourd’hui les raisons pour lesquelles l’accessoire classique pour pistolet léger de la NES n’a pas franchi le seuil du XXIe siècle.

Pourquoi votre PC Windows n’est-il pas authentique (et comment cela vous limite-t-il)?

Pourquoi votre PC Windows n’est-il pas authentique (et comment cela vous limite-t-il)?

Microsoft a récemment annoncé que Windows 10 serait une mise à niveau gratuite, même pour les ordinateurs ne disposant pas de copies authentiques de Windows. Mais même s’ils vous permettent d’installer Windows 10, vous vous retrouverez avec une copie non authentique de Windows 10 qui continue de vous narguer.