Comment trouver le bonheur dans un monde de folie des mots de passe

Début août, le journaliste de Mat Honan a piraté ses mots de passe les plus précieux exploits d'ingénierie sociale. La violation a fait les manchettes parce qu'elle exposait des failles de sécurité dans les politiques de service à la clientèle d'Apple et d'Amazon; mais n'oublions pas que la saga Honan a couronné un long été plein d'invasions de serveurs qui ont exposé des millions de mots de passe en masse. En juin, les pirates ont volé quelque 6,5 millions de mots de passe LinkedIn et les ont mis en ligne. Ce même mois, les intrus ont compromis environ 1,5 million de mots de passe eHarmony dans une faille de sécurité, et en juillet, les hackers ont saisi 450 000 mots de passe Yahoo Voice. Parmi les mots de passe les plus courants utilisés par ces membres Yahoo: "123456", "Bienvenue", et le "mot de passe" toujours populaire.

Le problème fondamental n'est pas que ces sites auraient mieux fait de protéger les données des utilisateurs (bien qu'ils devraient avoir). Et ce n'est pas que les utilisateurs ont choisi des mots de passe qui étaient extrêmement faciles à déchiffrer et ensuite recyclé les mêmes mots de passe fragiles sur tous les sites où ils se sont enregistrés.

[Plus d'informations: Comment supprimer les logiciels malveillants sur votre PC Windows]

Le problème est que les mots de passe sont devenus des outils souvent destructeurs, souvent impuissants dans le grand schéma de la sécurité numérique. Nous avons besoin d'un trop grand nombre d'entre eux, et ceux qui sont forts sont trop difficiles à retenir.

«Pour utiliser le Net, il faut des dizaines de mots de passe et de connexions», explique Terry Hartmann, vice-président des solutions globales de sécurité pour Unisys. "Chaque fois que vous revenez sur un site, il semble qu'ils ont introduit de nouvelles règles pour rendre les mots de passe plus complexes. Finalement, les utilisateurs reviennent à utiliser un mot de passe pour tout. "

En bref: Le système de mot de passe est cassé. Tous les mots de passe violés dans les exploits de LinkedIn, eHarmony et Yahoo avaient été «hachés», c'est-à-dire que les mots de passe réels avaient été remplacés par du code généré par algorithme. Cela transforme les mots de passe stockés sur les serveurs (et volés par les pirates informatiques) en charabia alphanumérique. Pourtant, si votre mot de passe est aussi simple que, par exemple, "officepc", un hacker peut facilement le déchiffrer même sous forme hachée en utilisant la force brute ou une table arc-en-ciel.

Mais tout n'est pas perdu. Les mots de passe complexes infusés de chiffres et de caractères spéciaux (et ne ressemblant en rien à un vrai nom ou mot) vous donnent une chance de combattre les pirates, et vous pouvez stocker ces codes dans une application de gestion de mot de passe pratique. Les sites Web, quant à eux, font plus pour renforcer la sécurité de leur côté, nécessitant une authentification multifactorielle, et il semble que la technologie biométrique sera bientôt utilisée pour la sécurité du marché de masse.

Le problème du mot de passe ne disparaîtra pas Cependant, pour l'instant, nous devrons compter sur les applications, services et technologies émergentes expliquées ci-dessous pour garder une longueur d'avance sur les méchants.

Les coffres-forts

Les programmes de gestion de mot de passe sont comme les filtres anti-spam -boring mais des outils essentiels pour gérer votre vie numérique. Un bon gestionnaire de mots de passe se souvient de toutes vos connexions, remplace les mots de passe simples que vous choisissez par des mots complexes et vous permet de les changer rapidement si un site ou service est piraté.

La meilleure partie: de mots de passe uniques, il suffit de s'en souvenir: le mot de passe principal de votre coffre-fort. Et à moins que vous ne vous connectiez toujours à partir de la même machine et du même navigateur (dans ce cas, vous lisez probablement ceci sur une connexion AOL), vous devez utiliser un programme basé sur le cloud comme LastPass, 1Password ou Roboform. vos connexions à n'importe quel PC, téléphone ou tablette que vous utilisez.

L'inconvénient: vous devez toujours vous souvenir de votre mot de passe principal, et il devrait être bon, emballé avec un mélange de chiffres, majuscules et minuscules, et des caractères spéciaux tels que des points d'interrogation et des points d'exclamation. Robert Siciliano, un expert en sécurité en ligne pour McAfee, utilise un coffre-fort pour stocker plus de 700 connexions. De même, si des escrocs piratent un coffre-fort de mot de passe basé sur le cloud, comme ce fut le cas pour LastPass en mai 2011, il pourrait s'agir d'un jeu terminé. Heureusement pour les clients de LastPass, aucune information sensible n'a été violée dans l'attaque de 2011; mais la prochaine fois qu'une intrusion réussie se produit (et que cela arrive à une entreprise de sécurité quelque part est inévitable), les utilisateurs ne seront peut-être pas aussi chanceux.

Conclusion: Les coffres à gestion de mots de passe offrent une valeur immense. valeur de la sécurité numérique

Authentification multifactorielle

Les mots de passe complexes stockés dans un emplacement de stockage crypté ne sont qu'un premier pas. Certains sites s'appuient sur un deuxième niveau de sécurité pour identifier les utilisateurs, généralement un élément matériel auquel seul l'utilisateur légitime a accès. De cette façon, même un attaquant qui connaît votre mot de passe aura besoin, par exemple, de votre téléphone ou de votre ordinateur pour voler vos données.

Les institutions financières sont tenues par la loi d'utiliser plusieurs facteurs lors de transactions en ligne. il en arrière-plan en authentifiant votre machine ou son emplacement, dit Siciliano. Par exemple, si vous habitez à San Francisco et que quelqu'un à Shanghai tente d'accéder à votre compte bancaire, cette transaction peut être bloquée, ou cette personne peut devoir fournir une pièce d'authentification supplémentaire en entrant un numéro envoyé à un appareil fourni. Google et Facebook offrent désormais une authentification à deux facteurs: vous pouvez leur demander d'envoyer un code PIN temporaire à votre téléphone portable lorsque vous vous connectez à partir d'une machine inconnue (ce code PIN doit être fourni avec votre mot de passe le la première fois que vous essayez de vous connecter via cette nouvelle machine). Le système d'authentification en deux parties de Google assure un plus haut niveau de sécurité, mais de nombreux utilisateurs trouvent cela pénible dans la pratique du monde réel.

Malheureusement, cependant, à part, La plupart des sites en ligne n'offrent simplement pas d'authentification multifactorielle, en partie parce que ce n'est pas très pratique, et la grande majorité des utilisateurs d'Internet sont prêts à échanger leur sécurité contre des connexions sans tracas. > "L'authentification à deux facteurs ne passe pas toujours le test grand-mère", explique Siciliano. "Cela signifie plus d'appels de support, plus de réinitialisations de mot de passe, et des coûts plus élevés. C'est pourquoi il n'est généralement utilisé que par les entreprises qui ont beaucoup à perdre. "

Biométrie

La beauté de la biométrie est que vous n'avez pas à vous souvenir de quoi que ce soit, et encore moins de mot de passe complexe. Au lieu de cela, un système de sécurité biométrique exploite les propriétés uniques de votre propre emballage physique pour authentifier votre identité.

Les systèmes biométriques peuvent scanner les empreintes digitales, les iris, les visages et même les voix pour déterminer si une personne doit avoir accès à un service. de matériel. Ils ne sont pas encore déployés pour les principaux services de cloud computing, mais Terry Hartmann d'Unisys affirme que les grandes banques testent actuellement des systèmes d'identification biométrique et s'attend à ce qu'elles commencent à être déployées l'année prochaine. L'acquisition récente par AuthenTec d'Apple, fabricant de technologie de numérisation d'empreintes digitales, suggère qu'une forme d'identification biométrique pourrait être intégrée dans les futurs produits Apple.

La sécurité biométrique rudimentaire est déjà disponible sur de nombreux ordinateurs portables.

La biométrie n'est pas parfait, cependant. Les chercheurs ont utilisé des scanners d'empreintes digitales à l'aide de doigts en gélatine, et ils ont trompé les systèmes de reconnaissance faciale en utilisant des photographies. Lors de la conférence BlackHat de juillet dernier, des chercheurs en sécurité ont montré comment tromper les scanners d'iris en procédant à une rétro-ingénierie des données d'image.

Et bien sûr, les pirates peuvent cibler les données biométriques stockées dans une base de données centrale, et voler des identités en substituant leurs propres données biométriques à la place de leurs victimes. Comme pour les mots de passe et autres informations personnellement identifiables, le niveau de protection fourni par la sécurité biométrique dépend entièrement de la compétence de celui qui a stocké les données (nous savons tous comment cela fonctionne chez LinkedIn).

l'anonymat est difficile (voire impossible) pour les dissidents politiques, les dénonciateurs et les personnes qui habitent des identités multiples pour des raisons personnelles ou professionnelles.

Malgré tout, Joseph Pritikin, directeur du marketing des produits chez AOptix Technologies, fabricant de scanners à iris déployés dans les aéroports et les postes frontaliers, Prédit que les smartphones utilisant la biométrie sera l'un des principaux dispositifs d'identification de l'avenir, en partie parce que les données peuvent être stockées en toute sécurité sur l'appareil lui-même.

"Ce sera une combinaison de quelque chose que je suis et très probablement un smartphone ", dit Pritikin. «Leur chiffrement matériel serait difficile à compromettre.»

Un seul identifiant pour tous

En fin de compte, la solution idéale pour la fatigue des mots de passe est d'unifier toutes nos connexions disparates et identités en ligne. Entrez dans l'administration Obama, qui a lancé en avril 2011 une initiative publique-privée, la Stratégie nationale pour les identités de confiance dans le cyberespace, pour développer un écosystème d'identité qui permettrait aux consommateurs d'utiliser n'importe quel système de vérification. > Un tel système serait en mesure de vérifier que vous êtes en âge d'acheter du vin en ligne ou que vous êtes admissible à un rabais étudiant, sans nécessairement partager toutes vos informations personnelles avec chaque site, dit Jim Fenton, chef de la sécurité chez OneID, un système de gestion d'identité Internet. Le système vous permettrait également d'opérer sous un pseudonyme, si c'est comme ça que vous vouliez rouler.

Mais les rouages ​​du gouvernement changent lentement. Le mois dernier, le comité de pilotage du NTSIC a tenu sa première réunion. Selon Fenton, un membre du groupe sur la protection de la vie privée du comité de pilotage, les questions qu'il devra éventuellement aborder sont la quantité d'informations à partager entre les parties et le contrôle que les consommateurs devraient avoir sur ces informations. est sur le chemin, mais il ne sera pas bientôt là. En attendant, nous sommes bloqués avec des mots de passe. Créez-en de bons et assurez-vous qu'ils sont sous clé.