Archives pour la catégorie Mots de passe

Les mots de passe font souvent la une des actualités. Ils sont au coeur de notre quotidien. Tous nos accès, que ce soit privé ou pour le travaille, sont protégés par un mot de passe.

Les mots de passe faciles à pirater tels que «1234» et «mot de passe» seront illégaux en Californie à partir de 2020.

À partir de 2020, les mots de passe par défaut non sécurisés seront interdits en Californie, ce qui signifie que vous devrez bientôt changer de nombreux nouveaux mots de passe.

Le projet de loi sur la confidentialité des informations des appareils connectés a été adopté en Californie et l’un des ajouts à la loi est l’obligation de fournir à tous les appareils technologiques un mot de passe aléatoire par défaut. Les entreprises ne seront plus en mesure de paramétrer chaque appareil avec la norme de longue date admin / password avant de compter sur les utilisateurs pour le changer en quelque chose qu’un jardinier ne peut pas deviner.

Vous l’avez peut-être déjà vu dans le cas de certains routeurs et d’autres appareils électroniques domestiques équipés de panneaux d’administration, mais jusqu’à présent, cela n’a jamais été requis.

La loi ne s’appliquera pas aux appareils vendus avant 2020 et si vous voulez changer l’identifiant de votre routeur en admin / mot de passe après l’avoir acheté, vous n’avez pas à vous soucier du paiement des mauvaises amendes proposées sur la facture.

Cette évolution résulte de plusieurs années de piratage de données à caractère personnel, obtenues en grande partie grâce à l’accès à des comptes dotés de mots de passe trop simplistes, tels que «hot-dog» et «banane». En fait, une étude a révélé en 2014 que 47 % des adultes Américains avaient vu leurs informations personnelles révélées par des événements tels que le piratage de la cible qui avait compromis plus de 70 millions de clients.

A lire également : 4 raisons pour lesquelles les mots de passe Twitter sont si faciles à pirater.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

5 raisons pour lesquelles les mots de passe sont là pour rester d’actualité.

Malgré la popularité croissante de la biométrie, la technologie n’est toujours pas prête à remplacer les mots de passe traditionnels.

Au cours des dernières années, nous avons constaté que l’authentification biométrique était la technologie avancée du futur et qu’elle devenait une méthode d’authentification que nous prenons tous pour acquis. Cela est dû en grande partie au fait que des sociétés mondiales comme Apple, Microsoft et Samsung défendent la technologie dans leurs produits, grâce à l’identification des empreintes digitales et à la reconnaissance faciale.

Une étude récente de Gartner prévoyait que, d’ici à la fin de 2020, les entreprises qui investiraient dans de nouvelles méthodes d’authentification, telles que la biométrie, subiraient 50 % moins de violations de la sécurité liées à l’identité que celles qui ne l’avaient pas fait. Les violations de données peuvent avoir de graves conséquences pour une entreprise, à la fois en termes de réputation et de financement. Selon les estimations, le piratage de données d’Equifax en 2017 a coûté près de 450 millions de dollars à l’entreprise et les réglementations GDPR pourraient entraîner des amendes élevées si les entreprises ne signalent pas les piratages de données aux autorités compétentes dans les 72 heures. Cela étant, la sécurité des entreprises est à l’ordre du jour de nombreuses entreprises.

Malgré l’essor de la biométrie et les avantages que cette technologie peut apporter à la sécurité des entreprises et des consommateurs, le mot de passe n’a pas encore été supprimé.

Voici 5 raisons pour lesquelles :

1. Vous ne pouvez pas chiffrer les données avec la biométrie.

Afin de sécuriser les données, celles-ci doivent être cryptées et les mots de passe font partie intégrante de ce processus. Bien que la biométrie puisse agir comme gardien des données sensibles, la technologie est limitée en ce sens qu’elle ne peut accorder ou refuser l’accès qu’au cryptage. Prenez l’ID du visage d’Apple, par exemple. Alors que le dernier iPhone dispose des capteurs de cartographie du visage les plus sophistiqués et vous permet de déverrouiller votre appareil tout au long de la journée, la technologie nécessite toujours un mot de passe lors de la configuration pour encoder les données dans le stockage interne du téléphone. La saisie de votre mot de passe est également indispensable chaque fois que le téléphone est redémarré ou lorsque la biométrie ne réussit pas l’authentification.

Des systèmes de chiffrement correctement conçus supposent qu’un attaquant dispose de ressources énormes et d’une connaissance complète de tous les éléments, à l’exception d’un seul élément d’information : la clé de déchiffrement. C’est tout ce qui doit être gardé secret, et la biométrie seule ne suffira pas à garder la clé de décryptage éloignée des yeux indésirables.

2. La biométrie ne peut pas être mise à jour.

La biométrie est souvent considérée comme une alternative commode aux mots de passe, car les personnes n’ont pas à se souvenir des différentes informations d’identification pour chaque compte en ligne. Les gens supposent aussi souvent que, la biométrie étant intrinsèquement liée à la partie du corps d’un individu, les données sont beaucoup plus difficiles à voler. Après tout, les mots de passe volés ou faibles représentent 81 % des piratages de données confirmées, mais un criminel devrait faire des efforts extrêmes pour hacker un iris ou une empreinte digitale, n’est-ce pas ? Faux.

Les données biométriques peuvent toujours être divulguées ou volées par des criminels, mais contrairement aux mots de passe, elles ne peuvent pas être réinitialisées. Prenez des empreintes digitales par exemple. Ils sont laissés sur tout ce que nous touchons et, au début de 2017, une nouvelle étude a averti que les pirates pouvaient copier des empreintes digitales à partir de photographies haute résolution.

Les données biométriques sont tout aussi vulnérables aux fuites. En 2014, les pirates informatiques travaillant pour le gouvernement chinois se sont introduits dans les systèmes informatiques de l’Office of Personnel Management et ont volé des données incluant les empreintes digitales de 5,6 millions de personnes. Même s’il est possible d’améliorer les habitudes en matière de mot de passe en cas de fuite, une simple réinitialisation à quelque chose de fort et d’unique garantira la protection de vos comptes en ligne.

3. La biométrie est liée à votre appareil.

Nous accédons de plus en plus aux données de plusieurs appareils, par exemple lorsque vous passez d’un ordinateur de bureau à une tablette et que les mots de passe restent constants, quel que soit l’appareil ou votre emplacement. À l’heure actuelle, la biométrie n’a pas cette capacité: elle est liée à des périphériques spécifiques. Par exemple, vous ne pouvez pas simplement déverrouiller un site Web sur un ordinateur de bureau avec une reconnaissance faciale. C’est la raison pour laquelle la majorité des applications mobiles, de bureau et Web nécessitent un mot de passe lors de la configuration, car une méthode d’authentification doit rester constante.

Bien que les données biométriques restent relativement précoces, cela peut être gênant pour quelqu’un qui doit basculer entre les méthodes d’authentification en fonction du périphérique utilisé.

4. Le problème du biais en biométrie.

Une préoccupation majeure entourant la biométrie dont les chercheurs ont discuté est la question du biais inhérent au développement du logiciel. Par exemple, les chercheurs du MIT ont découvert que les systèmes de reconnaissance faciale étaient orientés vers les hommes blancs.

D’autre part, les mots de passe sont impartiaux en ce qui concerne le propriétaire ou le sujet de l’authentification. Si de telles failles avec la biométrie restent une préoccupation, avec des questions sur l’exactitude et une adoption lente, les mots de passe restent une solution universelle et efficace de gestion des identités et des accès.

5. Plusieurs facteurs d’authentification de sécurité sont préférés.

Les cybermenaces évoluent à un rythme qui dépasse la capacité des équipes de sécurité à les suivre. Dans un environnement de menaces en constante évolution et dans des environnements hautement sécurisés et professionnels, la meilleure méthode de sécurité est l’authentification multifacteur. Si un mot de passe est volé lors d’un piratage, le pirate aura toujours besoin d’un deuxième élément d’information, tel qu’une empreinte digitale, avant d’avoir accès aux informations. La biométrie peut aider à ajouter cette couche supplémentaire dans le mix de sécurité multifacteur, mais les mots de passe resteront une facette centrale.

Même avec les progrès des méthodes d’authentification et l’essor de la biométrie, les mots de passe sont là pour rester. Non seulement ils sont essentiels pour chiffrer les données d’une manière impossible à réaliser par la biométrie, mais ils constituent la seule méthode qui fonctionne dans tous les contextes, sur tous les périphériques et sans parti pris pour la personne concernée.

Vous avez le contrôle ultime sur la sécurité d’un mot de passe-y compris les symboles, lettres, chiffres choisis et des outils comme les gestionnaires de mots de passe simplifient la création et la mémorisation de mots de passe longs, forts et uniques pour plusieurs comptes. L’implémentation d’une solution de gestion des mots de passe au sein d’une entreprise garantit non seulement la sécurité de toute une entreprise, mais est également très pratique pour les employés : les mots de passe sont stockés et chiffrés et les comptes sont accessibles d’un seul clic.

Dans le même sujet : La réponse à une meilleure sécurité réside-t-elle dans des expériences sans mot de passe ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Verizon, AT & T, T-Mobile et Sprint font équipe pour arrêter les mots de passe.

Verizon, AT & T, T-Mobile et Sprint ont annoncé des détails supplémentaires sur leur projet Project Verify afin de créer un système d’identification et d’autorisation plus efficace.

Les sociétés ont déclaré que le but ultime du projet serait d’éliminer le besoin pour les clients de saisir des mots de passe pour accéder aux informations de leurs téléphones.

«Développé en collaboration par les quatre plus grands opérateurs sans fil américains, le prototype révèle l’approche du groupe de travail en matière d’authentification multi-facteurs, qui associe les capacités d’authentification réseau propriétaires des opérateurs à d’autres méthodes pour vérifier l’identité d’un utilisateur. «Une fois que l’utilisateur s’inscrit et fournit son consentement, la solution génère alors un identifiant basé sur le périphérique qui sert de profil utilisateur au centre du processus d’authentification.»

Plus précisément, les opérateurs ont déclaré que le service serait probablement fourni via une application installée sur les smartphones des consommateurs. Après s’être inscrit au service, les utilisateurs pourront ignorer le processus de connexion sur d’autres applications utilisant le système d’authentification Project Verify.

Les opérateurs ont déclaré que la configuration est meilleure que les mots de passe car elle utilise «plusieurs points de données uniques et vérifiables pour connecter les clients», y compris les numéros de téléphone, de plus, les opérateurs ont noté que les clients seraient en mesure de contrôler le type d’informations qu’ils fournissent pour l’authentification.

L’objectif de Project Verify est en partie de contrer le piratage des mots de passe et l’usurpation d’identité, notamment grâce aux techniques de piratage de cartes SIM et d’échange de cartes SIM. Ces techniques sont utilisées lorsqu’un criminel obtient frauduleusement le numéro de téléphone d’une victime en transférant ce numéro sur une carte SIM en sa possession.

A lire aussi : Les pirates ont hacké des données personnelles de 2 millions de clients T-Mobile

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

La réponse à une meilleure sécurité réside-t-elle dans des expériences sans mot de passe ?

Une authentification véritablement sans mot de passe permettant aux utilisateurs de contrôler les informations personnelles est essentielle pour éviter le vol d’identité et les piratages de données.

Les mots de passe sont une méthode d’authentification fiable et familière depuis des années. Leur commodité les rend également faciles à pirater. Environ 20 % des utilisateurs choisiront leur année de naissance si on leur demande de créer un code PIN à quatre chiffres et les habitudes similaires abondent avec les mots de passe. À notre désavantage, nous sommes devenus tellement dépendants des mots de passe que, même lorsque des piratages de données se produisent presque quotidiennement et qu’on nous dit de changer nos mots de passe, près de la moitié des consommateurs n’en tiennent pas compte.

Les mots de passe n’ont pas réussi à suivre le rythme de croissance des services en ligne sur lesquels nous comptons. En termes simples, ils n’offrent pas le type de protection nécessaire aux fraudeurs actuels, qui exploitent de plus en plus leurs faiblesses en matière de sécurité et de convivialité des mots de passe.

Où sont les mots de passe qui manquent ?

Cela se résume en grande partie aux habitudes des utilisateurs en matière de mots de passe. Le consommateur moyen est lié à environ 90 comptes en ligne nécessitant un mot de passe, ce qui rend pratiquement impossible la mémorisation de chaque mot de passe. En effet, les utilisateurs recycleront le même mot de passe sur plusieurs applications, conformément à la stratégie d’un service (limite de caractères, par exemple). Ils utiliseront également le même courrier électronique sur de nombreux services. C’est ce que l’on appelle la réutilisation des informations d’identification.

Environ 81 % des piratages de données majeures sont causées par des mots de passe hackés ou faibles. Les pirates informatiques obtiennent illégalement des informations d’identification par le biais du phishing ou d’un piratage antérieure qu’ils conserveront pour eux-mêmes ou qu’ils mettront à disposition pour la revente sur le Dark Web. Les hackeurs achètent des bibliothèques de mots de passe et lancent des attaques automatisées de réutilisation des identifiants, en faisant correspondre les mots de passe obtenus avec les bibliothèques de l’application ou des applications non associées. Par exemple, si le compte de détail préféré de Jane a été piraté et qu’elle utilise le même identifiant de connexion dans sa banque, le compte bancaire de Jane est désormais en péril, même si la banque elle-même n’a pas été piratée et qu’elle est bien sécurisée.

Les attaques de ce type donnent un taux de réussite de 2 %. Cela peut sembler un petit pourcentage, mais ce montant équivaut à plus de 46 millions de comptes piratés avec succès. Avec des millions de références en vrac grâce aux piratages de données massives et aux centaines d’applications valables offertes par les entreprises (généralement dans les services financiers), l’environnement de cybersécurité actuel ne fera qu’empirer.

Une autre cause courante, mais encore méconnue, est que les entreprises à la fois piratées et à court terme s’appuient souvent sur des magasins d’informations d’identification centralisés pour les clients, les clients et les données internes. S’appuyant sur une base de données unique et centralisée, les utilisateurs ne peuvent plus accéder aux informations d’identification des utilisateurs de grandes quantités de mots de passe deviennent facilement disponibles pour les pirates et les criminels doivent les acheter. Pour cette raison, les bases de données centrales, à savoir les banques de mots de passe, sont la cible favorite des pirates. Il en va de même pour les numéros de carte bancaire tels que les données de carte de crédit et de débit. Selon Experian, les informations sur les cartes de crédit qui sont plus populaires que les cartes de débit sur le Dark Web peuvent se vendre entre 5 et 110 dollars, selon les informations qui y sont liées (c.-à-d. CVV, informations bancaires, numéro de sécurité sociale, etc.).

Du point de vue de la convivialité, les expériences sans mot de passe sont excellentes. Du point de vue de la sécurité, cependant, il ne s’agit que de fonctionnalités pratiques superposées aux systèmes vulnérables, y compris ceux basés sur USB. Dans la plupart des cas, la biométrie sur l’appareil déverrouille simplement l’appareil, insère un mot de passe et actionne une clé de stockage. Les systèmes internes de l’entreprise, tels que l’authentification unique (SSO), masquent également l’existence d’un magasin d’informations d’identification centralisé.

Les expériences sans mot de passe suffiront-elles à sécuriser nos données ?

Pour mettre en œuvre de véritables expériences sans mot de passe avec une meilleure sécurité globale, les entreprises doivent se tourner vers une authentification décentralisée. La décentralisation élimine entièrement le mot de passe et permet à une entreprise ou à un fournisseur de services de communiquer avec les utilisateurs via l’infrastructure à clé publique (PKI). L’infrastructure à clé publique est un ensemble de rôles, de matériel et de logiciels, de règles et de procédures nécessaires pour créer, gérer, distribuer, utiliser, stocker et révoquer des certificats numériques et le chiffrement à clé publique. Dans notre monde connecté, les PKI créent des signatures numériques pour créer des identifiants uniques pour les personnes et les appareils, qui peuvent être authentifiés avec précision à grande échelle.

L’application d’un fournisseur de services, par exemple, peut prendre en charge la biométrie décentralisée ou les numéros d’identification personnels, qui sont détenus et portés uniquement par l’utilisateur. Qu’il se connecte, vérifie son identité ou autorise une transaction, le système communique avec le fournisseur de services en envoyant un jeton plutôt que le modèle biométrique de l’utilisateur (sous quelque forme que ce soit, chiffré ou non) ou son code PIN réseaux. Les utilisateurs disposeront de tout ce dont ils ont besoin sur leurs smartphones et autres appareils pour effectuer des transactions, sans intermédiaire au milieu, pour redonner le contrôle à leur place. Cela élimine également le magasin d’informations d’identification de masse sur le business end.

Pour éviter l’usurpation d’identité et réduire le risque de piratage massive des informations d’identification, il est temps que les consommateurs et les entreprises repensent la manière dont nous authentifions actuellement les utilisateurs. L’utilisation et le stockage traditionnels des mots de passe ne suffisent plus à conserver nos informations personnelles, personnelles. Les connexions sans mot de passe sont un bon début, mais pour prospérer dans un monde où nos informations sont constamment menacées, les entreprises doivent mettre en œuvre des expériences sans mot de passe qui conservent les informations d’identification personnelles. Sinon, nous pouvons nous attendre à voir davantage de piratages.

A lire aussi : Un geste de la main pourrait être votre prochain mot de passe.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Un geste de la main pourrait être votre prochain mot de passe.

Selon les chercheurs, le système de sécurité doit être suffisamment robuste pour reconnaître des vitesses et des formes légèrement différentes tout en détectant des tentatives frauduleuses.

Un nouveau système peut regarder le doigt d’une personne en effectuant un mouvement dans l’air comme une signature ou en dessinant une forme pour authentifier son identité. Le framework, appelé FMCode, utilise des algorithmes alimentés par un capteur ou une caméra portable et peut identifier correctement les utilisateurs entre 94,3 % et 96,7 % du temps sur deux appareils de gestes différents après avoir seulement vu le mot de passe plusieurs fois, selon les chercheurs.

La méthode, décrite dans un nouvel article des informaticiens Duo Lu et Dijiang Huang de l’Université d’Arizona, évoque certaines des questions délicates concernant la confidentialité des données biométriques telles que la reconnaissance faciale. Il résout également le problème de la mémorisation de longues chaînes de caractères nécessaires à la plupart des connexions sécurisées. Les interactions gestuelles peuvent être utiles lorsqu’un clavier est impraticable, comme l’utilisation d’un casque VR ou dans une situation où la minimisation du contact avec l’environnement est nécessaire pour la propreté, comme une salle d’opération.

Dans le document, qui a été publié sur le serveur de préimpression d’Arxiv.org ce mois-ci, les chercheurs définissent certains des obstacles à surmonter pour développer le FMCode. À la différence des mots de passe, les mouvements des doigts dans les airs ne seront pas exactement les mêmes à chaque fois. Un système doit donc être suffisamment robuste pour reconnaître des formes et des vitesses légèrement différentes tout en détectant des tentatives frauduleuses. Le système doit être capable de le faire avec seulement quelques exemples, car la plupart des utilisateurs ne seraient pas disposés à écrire leur code d’accès des centaines ou des milliers de fois.

Pour résoudre ces problèmes, les chercheurs se sont tournés vers l’apprentissage automatique. L’équipe a conçu des classificateurs capables de repérer les parodies tout en tolérant des variations mineures de l’utilisateur réel, et a construit un réseau neuronal convolutionnel (CNN) pour indexer les signaux de mouvement des doigts avec des méthodes d’augmentation des données.

Un simple geste avec le doigt.

Le FMCode est assez sûr contre la plupart des tentatives de devinettes et de la mystification, ou lorsqu’un attaquant connaît le geste, disent les chercheurs. Mais aucun système n’est infaillible. FMCode peut être trompé si le système n’est pas configuré pour vérifier l’utilisateur avec un ID de compte. Les chercheurs ont également indiqué qu’ils envisageaient de travailler sur des attaques futures, où le code secret des gestes d’une personne est enregistré puis rejoué plus tard pour tenter de tromper le système.

Reste à savoir si de nombreuses personnes seront intéressées par le contrôle gestuel, du moins à tout moment. L’intérêt et le développement de la technologie ont pris de l’ampleur au fil des ans, avec des films comme Minority Report et Iron Man qui ont attiré l’attention sur les interactions futuristes. Nintendo a sorti un gant filaire qui pourrait contrôler certains aspects du jeu à des ventes médiocres en 1989 à Leap Motion, qui a été publié à de bonnes critiques lors de son lancement en 2013 mais n’est toujours pas populaire. Des entreprises comme Sony tentent de créer des interfaces gestuelles, tandis que Facebook, Microsoft, Magic Leap et d’autres parient que nous aurons besoin d’un contrôle gestuel dans leurs environnements VR et AR.

Les chercheurs ont interrogé les participants à l’étude sur leurs réflexions sur l’utilisation de FMCode par rapport à d’autres méthodes de connexion, telles que les mots de passe traditionnels et la reconnaissance faciale sur les appareils mobiles. Bien que FMCode ait obtenu de très bons résultats en matière de sécurité, les utilisateurs ont trouvé qu’il était généralement moins facile à utiliser et pire pour la vitesse. Bien sûr, avec un matériel amélioré et un avenir avec plus de failles de sécurité, ces problèmes pourraient disparaître avec une vague de main.

A lire aussi : L’introduction de la biométrie entraînera-t-elle la fin du mot de passe ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage