À l’heure actuelle, il est tout à fait normal d’entendre parler d’une violation de données. Une violation peut survenir avec un service populaire comme Gmail ou un logiciel que la plupart d'entre nous ont oublié, comme MySpace.
L’une des pires choses qu’un pirate informatique puisse découvrir est votre mot de passe. Cela est particulièrement vrai si vous allez à l’encontre des conseils standards et utilisez le même identifiant sur plusieurs plateformes différentes. Mais la protection par mot de passe ne relève pas uniquement de votre responsabilité.
Alors, comment les sites Web stockent-ils vos mots de passe ? Comment protègent-ils vos informations de connexion ? Et quelle est la méthode la plus sécurisée que les sites Web peuvent utiliser pour suivre vos mots de passe ?
Dans le pire des cas : les mots de passe sont enregistrés en texte brut
Considérez cette situation : un grand site Web a été piraté. Les cybercriminels ont contourné toutes les mesures de sécurité de base mises en place par le site Web et peuvent exploiter une faille dans la structure du site. Vous êtes le client. Ce site Web a stocké vos coordonnées. Le site garantit que votre mot de passe est sécurisé. Mais que se passe-t-il si ce site Web stocke votre mot de passe en texte brut ?
Les mots de passe en texte brut sont comme un appât lucratif. Ils n’utilisent pas d’algorithmes et ne peuvent donc pas être lus. Les pirates peuvent lire les mots de passe aussi simplement que vous lisez cet article.
Peu importe la complexité de vos mots de passe : une base de données en texte brut est une liste des mots de passe de chacun, écrits clairement, comprenant les chiffres et les caractères supplémentaires que vous utilisez.
Et même si les pirates ne piratent pas le site Web, voulez-vous vraiment qu'un administrateur de site Web puisse voir vos informations de connexion secrètes ?
Vous pensez peut-être qu'il s'agit d'un problème très rare, mais on estime qu'environ 30 % des sites e-commerce utilisent cette méthode pour « sécuriser » les données clients !
Un moyen simple de savoir si un site Web enregistre les mots de passe en texte brut consiste à recevoir, immédiatement après votre inscription, un e-mail du site Web répertoriant vos informations de connexion. Dans ce cas, vous souhaiterez peut-être modifier tous les autres sites qui utilisent ce même mot de passe et contacter l'entreprise pour les avertir que leur sécurité est trop faible. Bien sûr, il est impossible de confirmer à 100 %, mais c'est un signe assez clair et le site ne devrait vraiment pas envoyer de telles choses par e-mail.
Encodage : ça a l’air bien, mais ce n’est pas parfait
De nombreux sites Web se tournent vers le cryptage pour protéger les mots de passe des utilisateurs. Le processus de cryptage brouille vos informations, les rendant illisibles jusqu'à ce que deux clés - l'une détenue par vous (il s'agit de vos informations de connexion) et l'autre par l'entreprise en question - apparaissent ensemble.
Vous avez également utilisé le chiffrement à de nombreux autres endroits. Face ID sur iPhone est une forme de cryptage. Le mot de passe est le même. Internet fonctionne grâce au cryptage : le HTTPS que vous pouvez voir dans l'URL signifie que le site Web que vous visitez utilise le protocole SSL ou TLS pour vérifier la connexion et agréger les données. Mais en réalité, le cryptage n’est pas parfait.
Le cryptage peut vous apporter une tranquillité d'esprit. Mais si un site protège votre mot de passe en utilisant son propre mot de passe, un pirate informatique peut voler le mot de passe du site, puis trouver votre mot de passe et le déchiffrer. Il ne faudra pas beaucoup d'efforts aux pirates pour trouver votre mot de passe ; C'est pourquoi les grandes bases de données sont toujours une cible importante.
Si la clé (mot de passe) de votre site est stockée sur le même serveur que votre mot de passe, votre mot de passe peut également être en texte brut.
Hash : Étonnamment simple (mais pas toujours efficace)
Le hachage de mot de passe peut ressembler à du jargon, mais il s’agit simplement d’une forme de cryptage plus sécurisée.
Au lieu de stocker le mot de passe en texte brut, le site Web exécute le mot de passe via une fonction de hachage, comme MD5, Secure Hashing Algorithm (SHA)-1 ou SHA-256, qui transforme le mot de passe en un ensemble de chiffres complètement différent. Il peut s'agir de chiffres, de lettres ou de tout autre caractère.
Votre mot de passe pourrait être IH3artMU0. Cela peut se transformer en 7dVq$@ihT et si un pirate informatique s'introduit dans la base de données, c'est tout ce qu'il peut voir. Les pirates ne peuvent pas déchiffrer à nouveau le mot de passe d'origine.
Malheureusement, les choses ne sont pas aussi sûres que vous le pensez. Cette méthode est meilleure que le texte brut mais ne pose toujours pas de problème pour les cybercriminels.
Ce qui est important, c'est qu'un mot de passe particulier génère un hachage particulier. Il y a une bonne raison à cela : chaque fois que vous vous connectez avec le mot de passe IH3artMU0, il passe automatiquement par ce hachage, et le site vous permet d'y accéder si ce hachage et celui de la base de données du site correspondent.
En réponse, les pirates ont développé des tableaux arc-en-ciel, semblables à des aide-mémoire. Il s'agit de listes de hachages, déjà utilisées par d'autres comme mots de passe, qu'un système sophistiqué peut rapidement parcourir, comme une attaque Brute Force .
Si vous avez choisi un mot de passe vraiment médiocre, il figurera en bonne place sur la table arc-en-ciel et pourra être facilement déchiffré. Les mots de passe complexes prendront plus de temps.
Meilleur actuellement : salage et hachage lent
Le salage est l'une des techniques les plus puissantes mises en œuvre par les sites Web les plus sécurisés.
Rien n’est impénétrable : les pirates s’efforcent toujours activement de pirater tout nouveau système de sécurité. Actuellement, il existe des techniques plus puissantes mises en œuvre par les sites Web les plus sécurisés. Ce sont des fonctions de hachage intelligentes.
Les hachages salés sont basés sur un nombre occasionnel cryptographique, un ensemble de données aléatoires généré pour chaque mot de passe individuel, qui est souvent très long et complexe.
Ces chiffres supplémentaires sont ajoutés au début ou à la fin du mot de passe (ou de la combinaison e-mail - mot de passe) avant qu'il ne passe par la fonction de hachage, pour se défendre contre les tentatives effectuées à l'aide d'une table arc-en-ciel.
En général, il n'y a aucun problème si les sels sont stockés sur les mêmes serveurs que les hachages. Déchiffrer un ensemble de mots de passe peut prendre beaucoup de temps aux pirates, et c'est encore plus difficile si vos mots de passe sont complexes.
C'est pourquoi vous devez toujours utiliser un mot de passe fort, quelle que soit votre confiance dans la sécurité de votre site Web.
Les sites Web utilisent également des hachages lents comme mesure supplémentaire. Les fonctions de hachage les plus connues (MD5, SHA-1 et SHA-256) existent depuis un certain temps et sont largement utilisées car relativement simples à mettre en œuvre.
Même si le sel s'applique toujours, les hachages lents sont encore meilleurs pour se défendre contre toute attaque reposant sur la vitesse. En limitant les pirates à beaucoup moins de tentatives par seconde, il leur faudra plus de temps pour pirater, ce qui rendra les tentatives moins utiles, tout en réduisant également le taux de réussite.
Les cybercriminels doivent déterminer s'il vaut la peine d'attaquer des systèmes de hachage lents et chronophages plutôt que des « solutions rapides ». Par exemple, les établissements médicaux ont souvent une sécurité moindre, de sorte que les données obtenues peuvent toujours être vendues pour des sommes surprenantes.
Si un système est soumis à un « stress », il peut ralentir encore plus. Coda Hale, un ancien développeur de logiciels Microsoft, compare MD5 à la fonction de hachage lent la plus remarquable, bcrypt (d'autres fonctions incluent PBKDF-2 et scrypt) :
"Au lieu de déchiffrer les mots de passe toutes les 40 secondes (comme avec MD5), je les déchiffrerais tous les 12 ans environ (lorsque le système utilise bcrypt). Vos mots de passe n'ont probablement pas besoin de ce type de sécurité et vous aurez peut-être besoin d'un algorithme de comparaison plus rapide. , mais bcrypt vous permet de choisir l'équilibre entre vitesse et sécurité".
Et comme un hachage lent peut toujours être effectué en moins d’une seconde, les utilisateurs ne seront pas affectés.
Dans cet article, Quantrimang vous expliquera comment déterminer quels types de fichiers occupent beaucoup d'espace de stockage sur votre ordinateur Windows 10.
Yahoo Search est un moteur de recherche légitime. Cependant, il est également considéré comme un pirate de navigateur, redirigeant les utilisateurs vers la recherche. Yahoo. com. Ce pirate de navigateur détournera la page d'accueil du navigateur Web et les paramètres du moteur de recherche pour afficher la page d'accueil et le moteur de recherche Yahoo Search au lieu de la page d'accueil et du moteur de recherche que vous avez précédemment configurés.
Fin de tâche est une fonctionnalité du Gestionnaire des tâches de Microsoft Windows. Il se trouve dans l'onglet Applications et permet aux utilisateurs de fermer tout programme qui répond ou ne répond pas.
Comme beaucoup d'autres plates-formes, Windows dispose également d'un gestionnaire de presse-papiers spécialisé appelé « Historique du presse-papiers ».
La version macOS Big Sur a été officiellement annoncée lors de la récente conférence WWDC. Et vous pouvez complètement amener l'interface de macOS Big Sur sur Windows 10 avec l'outil Rainmeter.
RDStealer est un malware qui tente de voler des informations d'identification et des données en infectant un serveur RDP et en surveillant ses connexions à distance.
Il est peut-être temps de dire au revoir à l'Explorateur de fichiers et d'utiliser un logiciel de gestion de fichiers tiers ? Voici les 7 meilleures alternatives à l’Explorateur de fichiers Windows.
LoRaWAN ou Long Range Wireless Area Network est utile pour la communication entre des appareils à faible consommation sur de longues distances.
En accédant aux options de démarrage avancées, vous pouvez réinitialiser Windows 10, restaurer Windows 10, restaurer Windows 10 à partir d'un fichier image que vous avez créé précédemment, corriger les erreurs de démarrage, ouvrir l'invite de commande pour exécuter des options différentes, ouvrir les paramètres UEFI, modifier les paramètres de démarrage. ..
Chaque fois que vous vous inscrivez à un nouveau service, vous pouvez choisir un nom d'utilisateur et un mot de passe ou simplement vous connecter avec Facebook ou Twitter. Mais faut-il le faire ?
