À l’heure actuelle, il est tout à fait normal d’entendre parler d’une violation de données. Une violation peut survenir avec un service populaire comme Gmail ou un logiciel que la plupart d'entre nous ont oublié, comme MySpace.
L’une des pires choses qu’un pirate informatique puisse découvrir est votre mot de passe. Cela est particulièrement vrai si vous allez à l’encontre des conseils standards et utilisez le même identifiant sur plusieurs plateformes différentes. Mais la protection par mot de passe ne relève pas uniquement de votre responsabilité.
Alors, comment les sites Web stockent-ils vos mots de passe ? Comment protègent-ils vos informations de connexion ? Et quelle est la méthode la plus sécurisée que les sites Web peuvent utiliser pour suivre vos mots de passe ?
Dans le pire des cas : les mots de passe sont enregistrés en texte brut
Considérez cette situation : un grand site Web a été piraté. Les cybercriminels ont contourné toutes les mesures de sécurité de base mises en place par le site Web et peuvent exploiter une faille dans la structure du site. Vous êtes le client. Ce site Web a stocké vos coordonnées. Le site garantit que votre mot de passe est sécurisé. Mais que se passe-t-il si ce site Web stocke votre mot de passe en texte brut ?
Les mots de passe en texte brut sont comme un appât lucratif. Ils n’utilisent pas d’algorithmes et ne peuvent donc pas être lus. Les pirates peuvent lire les mots de passe aussi simplement que vous lisez cet article.
Peu importe la complexité de vos mots de passe : une base de données en texte brut est une liste des mots de passe de chacun, écrits clairement, comprenant les chiffres et les caractères supplémentaires que vous utilisez.
Et même si les pirates ne piratent pas le site Web, voulez-vous vraiment qu'un administrateur de site Web puisse voir vos informations de connexion secrètes ?
Vous pensez peut-être qu'il s'agit d'un problème très rare, mais on estime qu'environ 30 % des sites e-commerce utilisent cette méthode pour « sécuriser » les données clients !
Un moyen simple de savoir si un site Web enregistre les mots de passe en texte brut consiste à recevoir, immédiatement après votre inscription, un e-mail du site Web répertoriant vos informations de connexion. Dans ce cas, vous souhaiterez peut-être modifier tous les autres sites qui utilisent ce même mot de passe et contacter l'entreprise pour les avertir que leur sécurité est trop faible. Bien sûr, il est impossible de confirmer à 100 %, mais c'est un signe assez clair et le site ne devrait vraiment pas envoyer de telles choses par e-mail.
Encodage : ça a l’air bien, mais ce n’est pas parfait
De nombreux sites Web se tournent vers le cryptage pour protéger les mots de passe des utilisateurs. Le processus de cryptage brouille vos informations, les rendant illisibles jusqu'à ce que deux clés - l'une détenue par vous (il s'agit de vos informations de connexion) et l'autre par l'entreprise en question - apparaissent ensemble.
Vous avez également utilisé le chiffrement à de nombreux autres endroits. Face ID sur iPhone est une forme de cryptage. Le mot de passe est le même. Internet fonctionne grâce au cryptage : le HTTPS que vous pouvez voir dans l'URL signifie que le site Web que vous visitez utilise le protocole SSL ou TLS pour vérifier la connexion et agréger les données. Mais en réalité, le cryptage n’est pas parfait.
Le cryptage peut vous apporter une tranquillité d'esprit. Mais si un site protège votre mot de passe en utilisant son propre mot de passe, un pirate informatique peut voler le mot de passe du site, puis trouver votre mot de passe et le déchiffrer. Il ne faudra pas beaucoup d'efforts aux pirates pour trouver votre mot de passe ; C'est pourquoi les grandes bases de données sont toujours une cible importante.
Si la clé (mot de passe) de votre site est stockée sur le même serveur que votre mot de passe, votre mot de passe peut également être en texte brut.
Hash : Étonnamment simple (mais pas toujours efficace)
Le hachage de mot de passe peut ressembler à du jargon, mais il s’agit simplement d’une forme de cryptage plus sécurisée.
Au lieu de stocker le mot de passe en texte brut, le site Web exécute le mot de passe via une fonction de hachage, comme MD5, Secure Hashing Algorithm (SHA)-1 ou SHA-256, qui transforme le mot de passe en un ensemble de chiffres complètement différent. Il peut s'agir de chiffres, de lettres ou de tout autre caractère.
Votre mot de passe pourrait être IH3artMU0. Cela peut se transformer en 7dVq$@ihT et si un pirate informatique s'introduit dans la base de données, c'est tout ce qu'il peut voir. Les pirates ne peuvent pas déchiffrer à nouveau le mot de passe d'origine.
Malheureusement, les choses ne sont pas aussi sûres que vous le pensez. Cette méthode est meilleure que le texte brut mais ne pose toujours pas de problème pour les cybercriminels.
Ce qui est important, c'est qu'un mot de passe particulier génère un hachage particulier. Il y a une bonne raison à cela : chaque fois que vous vous connectez avec le mot de passe IH3artMU0, il passe automatiquement par ce hachage, et le site vous permet d'y accéder si ce hachage et celui de la base de données du site correspondent.
En réponse, les pirates ont développé des tableaux arc-en-ciel, semblables à des aide-mémoire. Il s'agit de listes de hachages, déjà utilisées par d'autres comme mots de passe, qu'un système sophistiqué peut rapidement parcourir, comme une attaque Brute Force .
Si vous avez choisi un mot de passe vraiment médiocre, il figurera en bonne place sur la table arc-en-ciel et pourra être facilement déchiffré. Les mots de passe complexes prendront plus de temps.
Meilleur actuellement : salage et hachage lent
Le salage est l'une des techniques les plus puissantes mises en œuvre par les sites Web les plus sécurisés.
Rien n’est impénétrable : les pirates s’efforcent toujours activement de pirater tout nouveau système de sécurité. Actuellement, il existe des techniques plus puissantes mises en œuvre par les sites Web les plus sécurisés. Ce sont des fonctions de hachage intelligentes.
Les hachages salés sont basés sur un nombre occasionnel cryptographique, un ensemble de données aléatoires généré pour chaque mot de passe individuel, qui est souvent très long et complexe.
Ces chiffres supplémentaires sont ajoutés au début ou à la fin du mot de passe (ou de la combinaison e-mail - mot de passe) avant qu'il ne passe par la fonction de hachage, pour se défendre contre les tentatives effectuées à l'aide d'une table arc-en-ciel.
En général, il n'y a aucun problème si les sels sont stockés sur les mêmes serveurs que les hachages. Déchiffrer un ensemble de mots de passe peut prendre beaucoup de temps aux pirates, et c'est encore plus difficile si vos mots de passe sont complexes.
C'est pourquoi vous devez toujours utiliser un mot de passe fort, quelle que soit votre confiance dans la sécurité de votre site Web.
Les sites Web utilisent également des hachages lents comme mesure supplémentaire. Les fonctions de hachage les plus connues (MD5, SHA-1 et SHA-256) existent depuis un certain temps et sont largement utilisées car relativement simples à mettre en œuvre.
Même si le sel s'applique toujours, les hachages lents sont encore meilleurs pour se défendre contre toute attaque reposant sur la vitesse. En limitant les pirates à beaucoup moins de tentatives par seconde, il leur faudra plus de temps pour pirater, ce qui rendra les tentatives moins utiles, tout en réduisant également le taux de réussite.
Les cybercriminels doivent déterminer s'il vaut la peine d'attaquer des systèmes de hachage lents et chronophages plutôt que des « solutions rapides ». Par exemple, les établissements médicaux ont souvent une sécurité moindre, de sorte que les données obtenues peuvent toujours être vendues pour des sommes surprenantes.
Si un système est soumis à un « stress », il peut ralentir encore plus. Coda Hale, un ancien développeur de logiciels Microsoft, compare MD5 à la fonction de hachage lent la plus remarquable, bcrypt (d'autres fonctions incluent PBKDF-2 et scrypt) :
"Au lieu de déchiffrer les mots de passe toutes les 40 secondes (comme avec MD5), je les déchiffrerais tous les 12 ans environ (lorsque le système utilise bcrypt). Vos mots de passe n'ont probablement pas besoin de ce type de sécurité et vous aurez peut-être besoin d'un algorithme de comparaison plus rapide. , mais bcrypt vous permet de choisir l'équilibre entre vitesse et sécurité".
Et comme un hachage lent peut toujours être effectué en moins d’une seconde, les utilisateurs ne seront pas affectés.
Voyez-vous une notification d’activation de Windows 10 dans le coin droit de l’écran ? Cet article vous expliquera comment supprimer l'avis de demande de droit d'auteur sous Windows 10.
Récemment, Microsoft a publié la dernière mise à jour cumulative pour les utilisateurs de PC Windows 10, appelée Build 14393.222. Cette mise à jour publiée pour Windows 10 corrige principalement des bugs basés sur les commentaires des utilisateurs et améliore l'expérience de performances du système d'exploitation.
Avez-vous des ordinateurs sur votre réseau local qui nécessitent un accès externe ? Utiliser un hôte bastion comme gardien de votre réseau peut être une bonne solution.
Si vous préférez utiliser un vieux clavier classique, comme l'IBM Model M, qui n'inclut pas de touche Windows physique, il existe une méthode simple pour en ajouter davantage, en empruntant une touche que vous n'utilisez pas souvent.
Parfois, vous devrez peut-être supprimer d’un seul coup les anciens journaux d’événements. Dans ce guide, Quantrimang.com vous montrera 3 façons de supprimer rapidement tous les journaux d'événements dans l'Observateur d'événements Windows 10.
Dans de nombreux articles précédents, nous avons mentionné qu’il est extrêmement important de rester anonyme en ligne. Des informations privées sont divulguées chaque année, ce qui rend la sécurité en ligne de plus en plus nécessaire. C'est aussi la raison pour laquelle nous devrions utiliser des adresses IP virtuelles. Ci-dessous, nous découvrirons les méthodes pour créer de fausses IP !
WindowTop est un outil qui a la capacité d'atténuer toutes les fenêtres d'application et tous les programmes exécutés sur les ordinateurs Windows 10. Vous pouvez également utiliser une interface à fond sombre sur Windows.
La barre de langue sous Windows 8 est une barre d'outils de langue miniature conçue pour s'afficher automatiquement sur l'écran du bureau. Cependant, de nombreuses personnes souhaitent masquer cette barre de langue dans la barre des tâches.
La connectivité sans fil est aujourd’hui une nécessité et pour cette raison, la sécurité sans fil est essentielle pour garantir la sécurité de votre réseau interne.
Maximiser la vitesse d’Internet est essentiel pour optimiser votre connexion réseau. Vous pouvez vivre une expérience de divertissement et de travail optimale en utilisant des ordinateurs, des téléviseurs connectés à Internet, des consoles de jeux, etc.
