Archives pour la catégorie Sécurité

Dans cette catégorie, l’équipe Pass Revelator vous décrypte toutes les dernières actualités et nouveautés sur le piratage et le hacking de comptes, de bases de données et même d’appareils électroniques. Que vous soyez novice ou expert, nous essayons au mieux de vous expliquer, parfois en schématisant, les dernières techniques des experts en sécurité.

6 façons d’améliorer votre vie privée et votre sécurité sur Instagram.

Comme avec la plupart des plateformes de réseaux sociaux, Instagram peut être une arme à double tranchant. D’un côté, c’est un excellent moyen de partager et de s’exprimer, mais d’un autre côté, il peut tout aussi bien compromettre votre vie privée et votre sécurité. Heureusement, il y a quelques choses que vous pouvez faire pour vous protéger.

Comme pour tout ce qui concerne la cybersécurité, aucun plan n’est infaillible. Alors, sachez que même si vous mettez en œuvre ces conseils, vous risquez toujours de voir vos données personnelles tomber entre de mauvaises mains. Cependant, en ajustant ces paramètres dans l’application Instagram pour Android ou iPhone, vous réduirez considérablement vos risques.

 

Astuce 1 :

Activer l’authentification à deux facteurs

L’une des choses les plus simples que vous puissiez faire pour améliorer vos défenses consiste à activer l’authentification à deux facteurs (2FA). Cela nécessitera que vous ajoutiez votre numéro de téléphone à votre compte (si vous avez créé votre compte uniquement avec votre adresse e-mail ou vos informations d’identification Facebook), rajouterez une couche supplémentaire à votre sécurité.

Avec l’authentification à deux facteurs, vous aurez besoin de votre mot de passe et d’un mot de passe à usage unique (OTP) pour vous connecter à votre compte Instagram. Ce mot de passe à usage unique est envoyé sur votre téléphone lorsque vous essayez de vous connecter. En principe, les pirates ne pourront accéder à votre compte que s’ils ont également un accès physique à votre téléphone.

Pour activer 2FA, rendez-vous sur l’onglet Profil du menu principal d’Instagram en appuyant sur l’icône de la silhouette dans le coin inférieur gauche. De là, appuyez sur le bouton de menu dans le coin en haut à droite sur Android, ou appuyez sur l’icône d’engrenage à côté de « Modifier le profil » si vous êtes sur l’iPhone. Choisissez « Authentification à deux facteurs » et activer le commutateur à côté de « Exiger le code de sécurité » pour activer. Suivez les instructions sur la fenêtre contextuelle pour ajouter votre numéro de téléphone et terminer le processus.

 

Astuce 2 :

Utiliser un gestionnaire de mots de passe

Outre le mot de passe à usage unique, votre mot de passe est le principal portier qui empêche l’accès à votre compte. Malheureusement, de nombreux utilisateurs protègent leur compte avec un mot de passe facile à mémoriser et cela a malheureusement pour conséquence involontaire d’être un mot de passe plus facile à pirater.

Au lieu de vous fier à un mot de passe mémorisé, utilisez un gestionnaire de mot de passe pour en créer un pour vous. Contrairement à ce que vous créez, le gestionnaire de mots de passe est garanti aussi résistant que nécessaire, car vous pouvez contrôler les critères dont il a besoin pour se conformer. De plus, vous pouvez changer votre mot de passe facilement (nous vous recommandons tous les 90 jours) pour que les pirates n’aient pas beaucoup de temps pour deviner votre mot de passe.

Que vous utilisiez iOS ou Android, nous vous recommandons d’utiliser LastPass Password Manager. Son faible coût combiné à une vaste liste de fonctionnalités est inégalé par n’importe quel autre gestionnaire sur l’un ou l’autre app store.

 

Astuce 3 :

Désactiver l’étiquetage GPS

La plupart des applications d’appareil-photo marqueront vos photos avec des coordonnées qui indiquent où elles ont été prises et c’est un excellent moyen de se rappeler des aventures précédentes à des endroits spécifiques. Cependant, avec ces métadonnées attachées à vos photos, les personnes indésirables peuvent facilement apprendre votre emplacement.

Avec Android, vous pouvez désactiver le marquage GPS dans votre application de caméra stock, mais ce processus varie avec chaque périphérique. En règle générale, l’option se trouve dans le menu des paramètres de votre application principale de la caméra sous « GPS Tagging » ou « Tag Locations ».

Pour iOS, c’est un peu plus simple. Ouvrez les paramètres et sélectionnez « Confidentialité ». Choisissez « Services de localisation » et sélectionnez « Caméra » (ou quelle que soit l’application que vous utilisez). Basculez « Autoriser l’accès à l’emplacement » sur « Jamais » pour bloquer de manière permanente le marquage d’emplacement par l’application de l’appareil photo.

 

Astuce 4 :

Exiger l’approbation pour les photos marquées

Votre présence sur Instagram va au-delà des photos que vous téléchargez personnellement. Si quelqu’un d’autre prend une photo de vous et vous y marque, cette photo apparaîtra également sur votre page, que vous la vouliez ou non. Heureusement, vous pouvez changer cela en demandant une approbation avant d’être ajouté à votre profil.

Accédez à Options (voir Astuce n ° 1) et choisissez « Photos de vous », puis sélectionnez « Ajouter manuellement ». Maintenant, chaque photo sur laquelle vous êtes tagué nécessite que vous les approuviez manuellement avant de les ajouter à votre profil.

 

Astuce 5 :

Rendre votre compte privé (facultatif)

 

Pour une confidentialité maximale, votre compte ne peut pas être public. Tout compte public peut être consulté par n’importe qui, ce qui peut conduire à ce que vos photos et vidéos soient copiées par des pêcheurs et d’autres individus malveillants. Cependant, la vie privée a un coût. Par exemple, pour ceux qui créent la notoriété de la marque, tout ce qui empêche les individus de vous découvrir nuira à vos progrès. Pour cette raison, cette astuce est facultative en fonction de vos besoins.

Si vous êtes un Joe moyen qui utilise la plate-forme pour vous connecter avec des amis, rendez-vous sur Options et sélectionnez « Compte Privé » pour activer le basculement. Une fois activé, seuls ceux que vous approuvez peuvent voir votre contenu. Vos abonnés actuels ne seront pas affectés par votre décision.

 

Astuce 6 :

Utilisez Instagram avec sagesse

Outre les solutions technologiques, vous pouvez faire quelques choix personnels pour protéger vos informations personnelles. Tout d’abord, rappelez-vous que tout ce que vous publiez (même avec un compte privé) est accessible à d’autres personnes. Ne postez pas d’images que vous pourriez regretter plus tard dans la vie et en particulier celles dont vous pourriez avoir honte plus tard ou des images qui révèlent des informations personnelles. Rappelez-vous toujours, tout ce qui peut être utilisé contre vous sera utilisé contre vous.

Deuxièmement, sachez que votre profil n’a pas besoin d’être complètement rempli. Ne pas révéler aux autres les informations qui ne sont pas nécessaires. Malgré toute la confiance que vous pouvez avoir avec vos disciples, il suffit d’une personne pour prendre une décision qui peut avoir un impact sur votre vie.

Enfin, utilisez la fonction d’utilisateur de bloc. Dans votre liste « Abonnés », appuyez sur n’importe quel utilisateur que vous ne connaissez pas ou qui est toxique et sélectionnez le bouton de menu. Dans la fenêtre pop-up, choisissez « Bloquer » pour désactiver l’accès à votre compte.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Pirater un smartphone, les dangers…

Vous devriez vraiment ajouter un code PIN à votre smartphone. Voici pourquoi.

Sans code PIN, les pirates informatiques peuvent pirater votre compte mobile, prendre le contrôle de votre numéro de téléphone et utiliser ce numéro pour accéder à vos comptes en ligne.

Il est assez facile pour un pirate de détourner votre smartphone, de prendre le contrôle de votre numéro de téléphone et de l’utiliser pour contourner l’authentification à deux facteurs que vous avez configurée et pénétrer dans vos comptes en ligne.

Votre numéro de téléphone est la façon dont un certain nombre de sociétés, y compris votre banque, votre fournisseur de messagerie et vos services de médias sociaux, vérifient que vous êtes vraiment le propriétaire lorsque vous vous connectez.

Cette vulnérabilité est très effrayante mais il est facile de vous protéger : en améliorant vos mots de passe, en protégeant votre compte d’opérateur mobile et en utilisant une authentification non SMS lorsque vous le pouvez.L’expert en sécurité Jessy Irwin au sujet de ce que TOUS les internautes utilisant Internet doivent faire en ce qui concerne la sécurité de leurs mots de passe sur les comptes en ligne.

Mais avant que d’entrer dans la façon de verrouiller votre vie numérique, voici quelques raisons pour lesquelles vous devriez le faire :

Vous avez peut-être entendu beaucoup de choses sur «l’authentification à deux facteurs», «2FA» ou «vérification en deux étapes».

C’est un type de connexion de compte qui nécessite deux facteurs, généralement un mot de passe et un code de vérification supplémentaire. De nombreux sites Web soutiennent cela : Apple, Google, Facebook et votre banque, probablement.

Vous avez peut-être aussi entendu dire que le double facteur est important, car les mots de passe seuls ne sont pas suffisants.

Parce que beaucoup de gens réutilisent les mots de passe, le piratage de sécurité d’une entreprise peut affecter plusieurs comptes et il y a beaucoup de failles de sécurité. En fait, la cybercriminalité se produit plus souvent que jamais, en partie parce qu’une grande partie de nos affaires (nos finances, nos communications, nos factures, etc.) sont en ligne.
Mais si vous avez configuré l’authentification à deux facteurs basée sur SMS, elle peut être ignorée.

Les piratages deviennent de plus en plus sophistiqués. La vérification par SMS n’est pas forcément sûre car quelqu’un qui a vos informations personnelles (comme les quatre derniers chiffres de votre numéro de sécurité sociale ou votre carte de crédit) ou même un faux ID, peut assez facilement appeler le service client de votre opérateur et changer la carte SIM ou déplacez le compte vers un autre opérateur. Cette méthode de piratage redirige tous vos textes y compris les codes d’authentification à deux facteurs envoyés par SMS au pirate.

« Cette information peut sembler difficile à obtenir, mais il existe des moyens assez simples pour l’obtenir si vous savez comment. Une tactique qui est très populaire est d’offrir à la personne de soutien à la clientèle des informations utiles qui gagnent leur confiance, mais aussi vous aider à obtenir d’autres informations sur le compte », a déclaré Irwin.

C’est ce qui est arrivé à DeRay Mckesson, l’activiste de Black Lives Matter l’année dernière. Le compte Twitter de Mckesson a été piraté, même s’il avait activé l’authentification à deux facteurs. Le hacker a utilisé les quatre derniers chiffres du numéro de sécurité sociale de Mckesson pour accéder à son compte Verizon via le service client, puis modifier la carte SIM sur le compte de la cellule.

Les experts en technologie peuvent aussi être piratés. Le compte mobile de Lorrie Cranor, technicienne en chef de la FTC et professeur Carnegie Mellon qui étudie les mots de passe et les systèmes d’authentification, a été détourné en 2016. Quelqu’un est entré dans le magasin de la compagnie mobile avec une fausse carte d’identité et de son numéro de sécurité sociale. Le voleur a pu facturer deux nouveaux iPhones au compte de Cranor et voler son numéro de téléphone.

Les pirates informatiques peuvent également trouver un moyen d’accéder à votre compte de transporteur en utilisant des arnaques. Dans ce genre de tentative, quelqu’un vous appellera et vous posera comme votre transporteur, puis vous demandera de lire le code qui vient d’être envoyé par le texte. Ce code SMS peut être utilisé pour la récupération du mot de passe de sauvegarde de votre compte, ce qui signifie que les pirates n’ont même pas besoin de votre mot de passe pour prendre en charge votre numéro de téléphone avec juste ce code SMS.

Si un pirate peut prendre le contrôle de votre compte mobile, cela peut rendre vos comptes vulnérables d’une autre manière, car certains services utilisent SMS ou un appel téléphonique pour récupérer un compte lorsque vous oubliez votre mot de passe.

L’expert en sécurité, Jessy Irwin, a déclaré que même si le SMS est la méthode la moins sûre pour l’authentification à deux facteurs, c’est mieux que rien et pas intrinsèquement bon ou mauvais. « Là où les choses deviennent collantes n’est pas réellement l’authentification à deux facteurs, c’est quand SMS est configuré pour être utilisé pour la récupération de compte », a averti Irwin.

Ce n’est pas un gros problème pour la plupart des gens qui utilisent des ordinateurs, a dit Irwin, mais c’est un problème beaucoup plus important pour les personnes à haut risque, y compris les personnes qui possèdent une crypto-monnaie.

Ce type d’attaque détournement de compte mobile est devenu tellement répandu que T-Mobile a dénoncé ce message cette semaine, en invitant les clients à ajouter un code d’accès à leur compte.

T-Mobile redirige les clients vers une page de destination dédiée à la protection contre les escroqueries.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Mots de passe : 4 possibilités biométriques et comment ils peuvent être hackés.

Les méthodes de sécurité d’authentification s’améliorent tout le temps, mais elles ne sont toujours pas infaillibles.

Les mots de passe présentent de nombreux problèmes de sécurité. Les utilisateurs choisissent toujours des mots de passe courts et évidents ou utilisent les mêmes mots de passe sur tous leurs comptes. Pendant ce temps, les organisations auxquelles nous faisons confiance pour protéger nos données subissent souvent des piratages et finissent par perdre des millions d’informations d’identification de leurs clients. Tout cela entraîne une norme d’authentification à laquelle nous ne pouvons pas faire confiance.

Mais ne vous inquiétez pas encore ! Les mots de passe ne sont pas le seul facteur possible d’authentification. Vous pouvez utiliser de nombreux autres facteurs pour vous identifier, notamment les certificats numériques, les authentifications matériels et la biométrie. À l’heure actuelle, la biométrie est en vogue, principalement parce qu’elle est plus pratique. Plutôt que de devoir mémoriser une centaine de mots de passe différents, n’est-ce pas génial de simplement appuyer votre doigt sur un capteur ou de regarder votre ordinateur ou votre téléphone pour vous connecter ? Comme vous l’avez probablement remarqué, cela semble être le futur de l’authentification, avec de nouveaux exemples comme Hello de Microsoft et FaceID d’Apple.

Mais la biométrie résout-elle vraiment tous nos problèmes de sécurité d’authentification ?

Je dirais non. Bien que la biométrie soit assez précise, elle n’est pas infaillible. Au fil des ans, les pirates informatiques et les chercheurs ont souvent battu des solutions biométriques. Regardons les quatre meilleurs hacks biométriques du passé.

1. Gummy Bears Beat Up Lecteurs d’empreintes digitales.

Quand on pense à la biométrie, on pense probablement aux empreintes digitales. Les lecteurs d’empreintes digitales ont été l’une des premières formes de biométrie utilisées en informatique et elles sont très répandues aujourd’hui. Cependant, ils ont également été l’une des premières biométriques que les chercheurs ont trouvé comment les détourner à bas prix.

En 2002, un chercheur nommé Tsutomu Matsumoto a partagé comment pirater les lecteurs d’empreintes digitales avec de vieux oursons gommeux. Matsumoto a tiré des empreintes d’un verre en utilisant les mêmes techniques que les forces de l’ordre et ensuite utilisé les empreintes pour faire un doigt sur les matériaux gommeux. Avec un peu de travail, beaucoup de ces créations astucieuses ont trompé les capteurs d’empreintes digitales.

Bien sûr, au fil du temps, la biométrie est devenue plus avancée. Les capteurs modernes lisent à des résolutions plus élevées ou recherchent de nouveaux facteurs tels que la chaleur ou les pulsations cardiaques. Cependant, les techniques utilisées par les chercheurs pour les vaincre ont également évolué. En 2013, le Chaos Computer Club a battu le lecteur TouchID de l’iPhone peu après sa sortie. Encore plus récemment, les chercheurs ont piraté les lecteurs d’empreintes digitales avec du papier et de la colle.

Nous ne pouvons pas encore totalement leur faire confiance.

2. Faking Out Iris Scanners.

Nous avons tous vu des scanners d’iris sophistiqués dans les films, mais ces biométriques basées sur les yeux n’existent pas seulement dans la fiction.

Malheureusement, ils ne sont pas plus infaillibles que les lecteurs d’empreintes digitales. En 2012, les chercheurs ont partagé le fait sur comment ils pourraient contourner les lecteurs d’iris avec des images répliques d’iris. L’aspect le plus intéressant de cette recherche était de savoir comment ils répliquaient les faux iris à partir des données d’iris stockées dans la base de données du système biométrique. De la même manière que les fuites de la base de données de mot de passe entraînent des mots de passe piratés, une violation de la base de données iris pourrait entraîner des scanners oculaires trompés.

3. Paper Faces Fool Scanners visage.

La dernière tendance en matière de biométrie est la numérisation faciale. Avec des fonctionnalités telles que Hello de Microsoft, vous pouvez déverrouiller votre ordinateur ou votre téléphone en le regardant. Cela ressemble à un rêve d’utilisabilité, mais c’est encore trivial à battre.

Retour en 2011, un blogueur et chercheur a rapidement appris que vous pourriez facilement tromper les scanners faciaux Android avec une image fixe. Vous prenez une photo fixe de vous-même, montrez-la au téléphone, et voilà, vous êtes. Au crédit des fournisseurs, ils ont mis à jour leur technologie de scanner facial pour effectuer des vérifications de « vivacité », recherchant une sorte de mouvement le visage en regardant la caméra était une vraie personne. Malheureusement, un clin d’oeil Photoshopped pourrait contourner cette nouvelle vérification. Juste en éditant vos yeux fermés et en basculant entre deux photos fixes, vous pourriez passer ces contrôles de vivacité. Les bonnes nouvelles sont que la reconnaissance faciale est toujours en évolution.

4. Imprimantes 3D Crack 3-D Scanners faciaux.

En 2017, Apple a publié une nouvelle fonctionnalité de numérisation faciale appelée FaceID. En surface, l’expérience de l’utilisateur est comme n’importe quel autre lecteur facial. Cependant, sous le verre du téléphone est la technologie qui devrait rendre la reconnaissance faciale beaucoup plus précise et difficile à battre. Essentiellement, le téléphone comprend un capteur (TrueDepth) qui envoie des milliers de faisceaux de lumière infrarouge, qui cartographie votre visage avec précision. Cela permet au téléphone de stocker une sorte de représentation numérique 3D de votre visage, qu’il peut reconnaître sous plusieurs angles. Apple renforce cette fonctionnalité avec l’apprentissage automatique, qui peut vous reconnaître même lorsque vous portez des chapeaux, des lunettes ou d’autres accessoires qui pourraient confondre les scanners faciaux classiques.

Tout cela devrait rendre la biométrie faciale à toute épreuve et la rendre plus forte. Cependant, environ une semaine après la sortie de FaceID par Apple, un groupe de sécurité vietnamien a prétendu l’avoir piraté. Le hack nécessitait une imprimante 3D, des images infrarouges 2-D des yeux, de la poudre de pierre et beaucoup d’artisanat pour créer un masque qui pourrait tromper FaceID. Pour être juste, aucun autre groupe de recherche (à ma connaissance) n’a vérifié cette attaque de façon indépendante.

Je soupçonne que nous pourrions voir des mises à jour qui rendent plus difficile à tromper, mais jusqu’à présent, la numérisation faciale en 2D et en 3D ne sont pas parfaites.

Il peut sembler que je peins une image sombre pour l’avenir de la biométrie, mais ce n’est pas vrai. Les fournisseurs biométriques apprennent de ces erreurs et ajoutent de nouvelles fonctionnalités qui rendent leurs systèmes plus robustes. Pendant ce temps, de nouvelles options biométriques continuent d’émerger, telles que le rythme cardiaque, la cadence de frappe, et même les ondes cérébrales.

L’histoire nous a montré que les attaquants motivés peuvent trouver un moyen de copier, de voler ou de contourner les facteurs dont ils ont besoin. Si nous dépendons uniquement de la biométrie, nous subirons probablement les mêmes types de problèmes que les mots de passe rencontrés. Seulement maintenant, lorsqu’un pirate réplique votre empreinte digitale ou votre visage, vous ne pouvez plus l’utiliser pour l’authentification.

La biométrie jouera un rôle important dans l’avenir de l’authentification. Cependant, aucune possibilité d’authentification n’est infaillible. Plutôt que de dépendre entièrement d’une nouvelle forme de biométrie avancée, la solution la plus sûre consiste à implémenter l’authentification multifactorielle en utilisant plus d’un facteur pour tout ce que vous voulez sécuriser.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les hackers disposent d’une variété d’outils à leur disposition pour pirater les mots de passe de votre entreprise et pirater vos données.

Suivez ces étapes pour les contrecarrer.

L’utilisation de mots de passe traditionnels est une dangereux pour les entreprises de nos jours. Une approche beaucoup plus raisonnable consiste à protéger les données propriétaires par des moyens tels que l’authentification multifactorielle, les services d’authentification unique ou la biométrie. Selon les conclusions récentes des chercheurs en sécurité, la majorité des piratages de données survenues en 2017 tournaient autour des informations d’identification hackées ou faiblement accessibles.

Disséquons les méthodes de craquage de mot de passe les plus courantes que les auteurs en ligne utilisent pour pirater les entreprises et les particuliers.

Fichiers de mots de passe hashés compromettants.

Lorsque les cybercriminels obtiennent les mots de passe d’une organisation, c’est probablement parce qu’ils ont pu pirater le fichier de mots de passe. Il existe des entreprises qui conservent les listes de mots de passe sous forme de texte en clair. Une tactique plus sécurisée consiste à stocker les fichiers de mots de passe sous forme hachée. Cependant, aucune technique assez fiable ne suffit de nos jours.

En un mot, le hachage de mot de passe indique un mécanisme de transformation unidirectionnelle d’un mot de passe qui ne peut pas être inversé pour obtenir la chaîne d’origine. Lorsqu’un employé tente de se connecter avec son mot de passe normal, le module d’authentification le transforme automatiquement en formulaire haché et compare la chaîne à la valeur stockée dans la base de données. Si ces valeurs correspondent, la connexion est réussie.

Les acteurs de la menace qui accèdent à un fichier de mot de passe haché peuvent s’appuyer sur des «tables arc-en-ciel» pour inverser les fonctions de hachage. Étant donné que ce type d’activité nécessite une puissance de calcul importante, les pirates peuvent utiliser un matériel de craquage de mots de passe spécialement conçu, utiliser un botnet ou louer de l’espace auprès de fournisseurs de cloud.

En outre, il existe des services sur le dark web qui permettent aux auteurs d’externaliser la tâche de traitement des données. Dans ce cas, ils peuvent louer le service pour une durée déterminée et même obtenir un support technique.

En fin de compte, n’importe quel mot de passe peut être craqué tant que les attaquants ont le temps et les ressources suffisantes sur leurs mains. Ainsi, votre compte GMail peut être facilement piraté. La seule question est de savoir combien de temps cela prend. C’est habituellement une question de jours ou même d’heures, pas d’années comme avant.

Cela s’applique à pratiquement n’importe quel mot de passe créé par un humain. Les mots de passe générés par ordinateur ont tendance à être plus difficiles à déchiffrer de cette manière, mais ils sont encore moins sûrs à utiliser que l’authentification multifactorielle.

Un élément particulièrement déconcertant dans un scénario de hachage de mot de passe volé est que toute la routine de traitement et de craquage est exécutée sur la machine du malfaiteur. L’attaquant n’a pas besoin d’interagir avec l’infrastructure de la société cible en cours de route; par conséquent, aucun drapeau rouge ne sera levé. Des milliers de mots de passe peuvent être craqués en quelques heures tant que l’ordinateur de l’escroc a assez de puissance de traitement.

Attaques à grande échelle utilisant des botnets.

Les cybercriminels peuvent utiliser des botnets pour compromettre de gros services en ligne. Cette technique leur permet d’essayer de nombreuses combinaisons différentes de noms d’utilisateur et de mots de passe communs ou ceux obtenus à partir de vidages d’informations d’identification qui se produisent régulièrement. Ces listes peuvent être achetées sur le web sombre à moindre coût. Ils proviennent généralement de violations de base de données, telles que le piratage de messagerie Yahoo qui a compromis des milliards de comptes.

Imaginons un scénario où un acteur de la menace souhaite accéder à des comptes de messagerie. Les tentatives de connexion au même compte plusieurs fois génèrent des alertes. Pour contourner ces mesures de sécurité, l’attaquant commence par une liste d’adresses électroniques divulguées et une liste des mots de passe les plus fréquemment utilisés. Ensuite, ils essaient d’entrer dans chacun de ces comptes de messagerie avec l’un des mots de passe les plus courants, générant un seul échec par compte. Quelques jours plus tard, ils essaient un autre mot de passe commun pour chaque adresse e-mail. En utilisant un botnet à cet effet, les escrocs font croire que les tentatives de connexion proviennent de différentes sources.

Une bonne réponse à ce vecteur d’attaque est l’authentification à deux facteurs, où vous recevez un code secret que vous devez saisir chaque fois que vous tentez de vous connecter. Des technologies sophistiquées telles que la reconnaissance faciale et la biométrie comportementale sont également concernées. L’utilisation de services d’authentification tiers tels que Google ou Facebook est une autre bonne pratique qui minimise également le nombre de mots de passe dont vous devez vous souvenir.

Est-ce que les pirates ont déjà votre mot de passe ?

Lorsque les cybercriminels ciblent une personne, leur point de départ consiste à vérifier si les informations de connexion de cette personne ont déjà été volées à d’autres services. Si c’est le cas, il est probable que le même mot de passe soit utilisé pour le compte ciblé.

La plupart des utilisateurs ont des dizaines, voire des centaines de comptes en ligne différents. Il est trop difficile de se souvenir des mots de passe pour tous ces comptes; par conséquent, les gens ont tendance à utiliser seulement quelques mots de passe, avec quelques variations mineures.

Certaines personnes pensent qu’elles sont complètement sécurisées si elles ont un mot de passe très complexe et l’utilisent pour tous leurs comptes. C’est une illusion. Dans le cas où les pirates obtiennent ce mot de passe, toutes vos informations sont à risque. Peu importe la force du mot de passe si vous le réutilisez. En passant, il existe des ressources en ligne qui vous permettent de savoir si l’un de vos comptes protégés par mot de passe a été violé dans le passé.

Les incidents dans lesquels les pirates informatiques utilisent des logiciels malveillants et volent le mot de passe de leur compte de messagerie électronique sont particulièrement préjudiciables. De cette façon, les chapeaux noirs peuvent se connecter et réinitialiser les mots de passe pour les autres services que la victime utilise. En outre, si un site Web ou un service d’entreprise interne n’a aucune limitation en ce qui concerne les tentatives de connexion, il peut forcer le mot de passe par une attaque de dictionnaire ou par des solutions de cracking comme Hashcat, Mimikatz ou John the Ripper. Lorsqu’ils se lancent à la poursuite d’une cible de grande envergure, les escrocs peuvent effectuer des opérations OSINT (intelligence open source) afin de déterminer les réponses probables aux questions de sécurité accompagnant la récupération du mot de passe.

Les mots de passe créés par les humains, quelle que soit leur complexité, s’avèrent être des fruits à portée de main pour les pirates informatiques. Les technologies pour les fissurer ont considérablement évolué au fil du temps, alors que les gens restent assez prévisibles pour générer des mots de passe piratables. C’est un paradigme où les attaquants gagnent et les utilisateurs perdent.

Votre mot de passe est-il assez fort ?

Malheureusement, la plupart des services en ligne suivent des pratiques de renforcement des mots de passe qui sont dépassées. Leurs exigences se résument habituellement à huit caractères ou plus et à une combinaison obligatoire de symboles, de chiffres, de majuscules et de minuscules. Cela peut prendre quelques minutes ou même quelques secondes à un ordinateur pour créer un mot de passe répondant à ces critères.

Tout cela représente un sérieux défi pour les utilisateurs finaux et les fournisseurs de services. Il est trop difficile pour une personne moyenne de créer des dizaines de mots de passe uniques et longs pour les sites Web qu’elle utilise, de les changer régulièrement et de les mémoriser tous.

Il est recommandé d’utiliser les mots de passe les plus longs possibles pour les services en ligne et de tirer parti d’une solution de gestion des mots de passe réputée pour les stocker. En outre, vous devez sauvegarder le coffre-fort avec une phrase secrète principale d’environ 30 caractères. Assurez-vous que ce n’est pas une citation d’un roman ou tout ce qui peut être trouvé sur Internet. Il est important de noter que tous vos mots de passe doivent être générés de manière aléatoire et n’avoir que peu de sens ou aucun sens. Si vous pouvez vous en souvenir et le dire à quelqu’un, ce n’est pas un bon mot de passe.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Le partage de mots de passe avec votre amant est-il un signe de confiance ou un pas trop loin ?

La montée des médias sociaux signifie que nous pouvons révéler autant ou aussi peu de choses sur nos vies que nous le voulons.

Mais que devriez-vous partager avec votre partenaire ?

Beaucoup de gens connaissent les mots de passe de l’autre moitié et peuvent accéder à leurs comptes de téléphone mobile, de médias sociaux et de courrier électronique.

Mais est-ce vraiment un symbole de confiance ou est-il plus sain de garder un peu d’intimité ?

Ici, deux écrivains plaident pour et contre la révélation numérique de tous. « Oui » dit Joely Chilcott. Il arrive un moment dans la relation de tout le monde où les choses progressent au niveau suivant.
C’est le même principe que si vous aviez la clé de la maison de l’autre personne, maintenant c’est quand vous échangez les mots de passe de téléphone portable. C’est une façon de dire que vous vous faites mutuellement confiance. Les médias sociaux peuvent nous rendre tous paranoïaques de temps en temps, mais avoir ce petit code à quatre chiffres peut faire toute la différence.

Mais cela vient avec des règles.

Je ne préconise pas de se réveiller à minuit, en entaillant le téléphone de votre partenaire depuis la table de chevet et en faisant défiler leurs applis. Parce qu’avant que vous le sachiez, vous passerez trois heures avec un regard frénétique dans vos yeux et vous vous demanderez pourquoi il a envoyé un texto à Lauren en 2013. Le point de savoir les mots de passe est que vous pourriez jeter un coup d’oeil, mais vous ne le ferez pas. Et cela fonctionne dans les deux sens, ils ne devraient pas abuser de cette confiance et regarder vos messages non plus. Et je le dirais à son visage si j’avais l’énergie nécessaire pour continuer les corvées du nag-a-thon pour la centième fois. De plus, il y a des raisons pratiques, aussi. Quand mon amie s’est séparée de son partenaire, elle a dû annuler leur facture d’Internet, mais toute la correspondance est allée directement à sa boîte de réception et comme la scission n’était pas amicale, il a refusé de lui parler. Elle ne connaissait pas le mot de passe d’Internet ou le mot de passe de son courriel et a fini par payer inutilement trois mois de plus avant de se calmer. Donc, c’est aussi un expert en finances, mesdames.

Si vous vous retrouvez en train de se faufiler pour parcourir l’autre moitié de Twitter, il serait peut-être temps de vous demander pourquoi vous ressentez le besoin de le faire. Je fais implicitement confiance à mon partenaire, mais connaître ses mots de passe me rend plus assuré dans la relation. De plus, ses mots de passe étaient trop faciles à deviner.

« Non » – dit Lynsey Clarke. AVANT de donner votre moitié de mot de passe à votre téléphone, demandez-vous si vous seriez à l’aise avec lui assis autour de la table à votre salaire mensuel ? Voudriez-vous qu’il mette vos histoires embarrassantes sur les toilettes ou qu’il vous écoute, vous et vos amis, toute la population masculine ou comparez vos vies sexuelles ? Si la réponse est non, pourquoi diable voudriez-vous qu’il ait accès à votre mobile ? Mon compagnon ne serait pas impressionné si mon type lisait ses messages paniqués quand elle a été prise dans une position compromettante dans un train après avoir oublié de verrouiller la porte des toilettes. Je ne suis pas sûr que mes copines enceintes voudraient que mon autre moitié voit leurs images de bosse de starkers non plus et il n’a JAMAIS besoin de voir ces images d’accouchement de style One Born Every Minute. Pas si jamais je veux une progéniture avec lui, de toute façon. Ou qu’en est-il lorsque nous traversons une zone rocheuse et que nous envoyons mes conseils à mes proches ? Il n’a pas besoin de savoir ça et s’il le faisait, à quoi cela servirait-il ? Ce ne sont pas seulement les conversations qui devraient rester privées. Je vous conseille de garder vos e-mails, vos comptes bancaires et vos mots de passe de sites marchands également sur bloqué.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage