À l’heure actuelle, il est tout à fait normal d’entendre parler d’une violation de données. Une violation peut survenir avec un service populaire comme Gmail ou un logiciel que la plupart d'entre nous ont oublié, comme MySpace.
L’une des pires choses qu’un pirate informatique puisse découvrir est votre mot de passe. Cela est particulièrement vrai si vous allez à l’encontre des conseils standards et utilisez le même identifiant sur plusieurs plateformes différentes. Mais la protection par mot de passe ne relève pas uniquement de votre responsabilité.
Alors, comment les sites Web stockent-ils vos mots de passe ? Comment protègent-ils vos informations de connexion ? Et quelle est la méthode la plus sécurisée que les sites Web peuvent utiliser pour suivre vos mots de passe ?
Dans le pire des cas : les mots de passe sont enregistrés en texte brut
Considérez cette situation : un grand site Web a été piraté. Les cybercriminels ont contourné toutes les mesures de sécurité de base mises en place par le site Web et peuvent exploiter une faille dans la structure du site. Vous êtes le client. Ce site Web a stocké vos coordonnées. Le site garantit que votre mot de passe est sécurisé. Mais que se passe-t-il si ce site Web stocke votre mot de passe en texte brut ?
Les mots de passe en texte brut sont comme un appât lucratif. Ils n’utilisent pas d’algorithmes et ne peuvent donc pas être lus. Les pirates peuvent lire les mots de passe aussi simplement que vous lisez cet article.
Peu importe la complexité de vos mots de passe : une base de données en texte brut est une liste des mots de passe de chacun, écrits clairement, comprenant les chiffres et les caractères supplémentaires que vous utilisez.
Et même si les pirates ne piratent pas le site Web, voulez-vous vraiment qu'un administrateur de site Web puisse voir vos informations de connexion secrètes ?
Vous pensez peut-être qu'il s'agit d'un problème très rare, mais on estime qu'environ 30 % des sites e-commerce utilisent cette méthode pour « sécuriser » les données clients !
Un moyen simple de savoir si un site Web enregistre les mots de passe en texte brut consiste à recevoir, immédiatement après votre inscription, un e-mail du site Web répertoriant vos informations de connexion. Dans ce cas, vous souhaiterez peut-être modifier tous les autres sites qui utilisent ce même mot de passe et contacter l'entreprise pour les avertir que leur sécurité est trop faible. Bien sûr, il est impossible de confirmer à 100 %, mais c'est un signe assez clair et le site ne devrait vraiment pas envoyer de telles choses par e-mail.
Encodage : ça a l’air bien, mais ce n’est pas parfait
De nombreux sites Web se tournent vers le cryptage pour protéger les mots de passe des utilisateurs. Le processus de cryptage brouille vos informations, les rendant illisibles jusqu'à ce que deux clés - l'une détenue par vous (il s'agit de vos informations de connexion) et l'autre par l'entreprise en question - apparaissent ensemble.
Vous avez également utilisé le chiffrement à de nombreux autres endroits. Face ID sur iPhone est une forme de cryptage. Le mot de passe est le même. Internet fonctionne grâce au cryptage : le HTTPS que vous pouvez voir dans l'URL signifie que le site Web que vous visitez utilise le protocole SSL ou TLS pour vérifier la connexion et agréger les données. Mais en réalité, le cryptage n’est pas parfait.
Le cryptage peut vous apporter une tranquillité d'esprit. Mais si un site protège votre mot de passe en utilisant son propre mot de passe, un pirate informatique peut voler le mot de passe du site, puis trouver votre mot de passe et le déchiffrer. Il ne faudra pas beaucoup d'efforts aux pirates pour trouver votre mot de passe ; C'est pourquoi les grandes bases de données sont toujours une cible importante.
Si la clé (mot de passe) de votre site est stockée sur le même serveur que votre mot de passe, votre mot de passe peut également être en texte brut.
Hash : Étonnamment simple (mais pas toujours efficace)
Le hachage de mot de passe peut ressembler à du jargon, mais il s’agit simplement d’une forme de cryptage plus sécurisée.
Au lieu de stocker le mot de passe en texte brut, le site Web exécute le mot de passe via une fonction de hachage, comme MD5, Secure Hashing Algorithm (SHA)-1 ou SHA-256, qui transforme le mot de passe en un ensemble de chiffres complètement différent. Il peut s'agir de chiffres, de lettres ou de tout autre caractère.
Votre mot de passe pourrait être IH3artMU0. Cela peut se transformer en 7dVq$@ihT et si un pirate informatique s'introduit dans la base de données, c'est tout ce qu'il peut voir. Les pirates ne peuvent pas déchiffrer à nouveau le mot de passe d'origine.
Malheureusement, les choses ne sont pas aussi sûres que vous le pensez. Cette méthode est meilleure que le texte brut mais ne pose toujours pas de problème pour les cybercriminels.
Ce qui est important, c'est qu'un mot de passe particulier génère un hachage particulier. Il y a une bonne raison à cela : chaque fois que vous vous connectez avec le mot de passe IH3artMU0, il passe automatiquement par ce hachage, et le site vous permet d'y accéder si ce hachage et celui de la base de données du site correspondent.
En réponse, les pirates ont développé des tableaux arc-en-ciel, semblables à des aide-mémoire. Il s'agit de listes de hachages, déjà utilisées par d'autres comme mots de passe, qu'un système sophistiqué peut rapidement parcourir, comme une attaque Brute Force .
Si vous avez choisi un mot de passe vraiment médiocre, il figurera en bonne place sur la table arc-en-ciel et pourra être facilement déchiffré. Les mots de passe complexes prendront plus de temps.
Meilleur actuellement : salage et hachage lent
Le salage est l'une des techniques les plus puissantes mises en œuvre par les sites Web les plus sécurisés.
Rien n’est impénétrable : les pirates s’efforcent toujours activement de pirater tout nouveau système de sécurité. Actuellement, il existe des techniques plus puissantes mises en œuvre par les sites Web les plus sécurisés. Ce sont des fonctions de hachage intelligentes.
Les hachages salés sont basés sur un nombre occasionnel cryptographique, un ensemble de données aléatoires généré pour chaque mot de passe individuel, qui est souvent très long et complexe.
Ces chiffres supplémentaires sont ajoutés au début ou à la fin du mot de passe (ou de la combinaison e-mail - mot de passe) avant qu'il ne passe par la fonction de hachage, pour se défendre contre les tentatives effectuées à l'aide d'une table arc-en-ciel.
En général, il n'y a aucun problème si les sels sont stockés sur les mêmes serveurs que les hachages. Déchiffrer un ensemble de mots de passe peut prendre beaucoup de temps aux pirates, et c'est encore plus difficile si vos mots de passe sont complexes.
C'est pourquoi vous devez toujours utiliser un mot de passe fort, quelle que soit votre confiance dans la sécurité de votre site Web.
Les sites Web utilisent également des hachages lents comme mesure supplémentaire. Les fonctions de hachage les plus connues (MD5, SHA-1 et SHA-256) existent depuis un certain temps et sont largement utilisées car relativement simples à mettre en œuvre.
Même si le sel s'applique toujours, les hachages lents sont encore meilleurs pour se défendre contre toute attaque reposant sur la vitesse. En limitant les pirates à beaucoup moins de tentatives par seconde, il leur faudra plus de temps pour pirater, ce qui rendra les tentatives moins utiles, tout en réduisant également le taux de réussite.
Les cybercriminels doivent déterminer s'il vaut la peine d'attaquer des systèmes de hachage lents et chronophages plutôt que des « solutions rapides ». Par exemple, les établissements médicaux ont souvent une sécurité moindre, de sorte que les données obtenues peuvent toujours être vendues pour des sommes surprenantes.
Si un système est soumis à un « stress », il peut ralentir encore plus. Coda Hale, un ancien développeur de logiciels Microsoft, compare MD5 à la fonction de hachage lent la plus remarquable, bcrypt (d'autres fonctions incluent PBKDF-2 et scrypt) :
"Au lieu de déchiffrer les mots de passe toutes les 40 secondes (comme avec MD5), je les déchiffrerais tous les 12 ans environ (lorsque le système utilise bcrypt). Vos mots de passe n'ont probablement pas besoin de ce type de sécurité et vous aurez peut-être besoin d'un algorithme de comparaison plus rapide. , mais bcrypt vous permet de choisir l'équilibre entre vitesse et sécurité".
Et comme un hachage lent peut toujours être effectué en moins d’une seconde, les utilisateurs ne seront pas affectés.
Kaspersky Virus Removal Tool est un outil permettant de détecter et de supprimer les logiciels malveillants, les logiciels espions, les virus, les chevaux de Troie et les rootkits sur les ordinateurs.
Devoir travailler avec un écran d'ordinateur en désordre et désordonné vous rend frustré et démotivé ? Avec Rainmeter, tout deviendra beaucoup plus simple. Veuillez suivre l'article ci-dessous pour savoir comment nettoyer et organiser votre bureau de manière plus scientifique.
Heureusement, les utilisateurs d'ordinateurs Windows exécutant des processeurs AMD Ryzen peuvent utiliser Ryzen Master pour overclocker facilement la RAM sans toucher au BIOS.
ActivateWindowsSearch est une tâche planifiée faisant partie de la fonctionnalité de recherche Windows disponible sur Windows 7, Windows 8.1 et Windows 10. La tâche ActivateWindowsSearch est une partie essentielle de la fonctionnalité de recherche.
Microsoft a ajouté une fonctionnalité appelée Ultimate Performance à la mise à jour Windows 10 en avril 2018. On peut comprendre qu'il s'agit d'une fonctionnalité qui aide le système à passer en mode de travail hautes performances.
Si vous aimez la nouvelle icône de l'Explorateur de fichiers comme Windows 10 Sun Valley, suivez l'article ci-dessous pour modifier la toute nouvelle interface de l'Explorateur de fichiers.
Vérifier si la webcam fonctionne bien sur un ordinateur Windows est simple et rapide. Vous trouverez ci-dessous les étapes pour vous aider à vérifier la caméra.
Peut-être avez-vous branché des écouteurs de bonne qualité, mais pour une raison quelconque, l'ordinateur portable Windows continue d'essayer d'enregistrer à l'aide de son terrible microphone intégré. L'article suivant vous expliquera comment tester le microphone Windows 10.
Si vous n'en avez plus besoin, vous pouvez supprimer l'option Analyser avec Malwarebytes dans le menu contextuel du clic droit. Voici comment.
Border Gateway Protocol (BGP) est utilisé pour échanger des informations de routage pour Internet et est le protocole utilisé entre les FAI (qui sont des AS différents).
