Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

  • Ajouter aux favoris
    Ajouter aux favoris

Deux vérités sur les mots de passe - mais où est la vérité ?

Lu par: 566 Commentaires: 13 Cote de popularité: 37

Le changement régulier de mots de passe n'est pas un caprice mais une nécessité absolue pour tous les utilisateurs qui se soucient de la sécurité de leurs données. Et nous ne sommes pas les seuls à le penser !

Le 25 novembre 2016, le FBI a publié des conseils sur Twitter. L’organisation à notamment conseillé aux utilisateurs d'utiliser des mots de passe forts et d'en changer régulièrement. Cela paraît banal. On aurait donc pu ne pas mentionner cet article, mais il a été remarqué par des experts qui ont commencé à le critiquer.

Le changement fréquent des mots de passe est dangereux, car finalement les utilisateurs installent des mots de passe faciles à retenir, ce qui simplifie le travail des pirates.

" Je suis surpris et attristé par le fait que le FBI continue à donner de tels conseils, alors que de nombreuses études, les organisations, les entreprises et le gouvernement américain lui-même considèrent le changement fréquent des mots de passe comme une mauvaise pratique. Je ne sais pas qui gère le compte Twitter au FBI mais les gens qui le font, apparemment ne connaissent pas bien les meilleurs études actuelles dans ce domaine, "- a commenté Per Thorsheim, l'organisateur de la conférence PasswordsCon.

https://motherboard.vice.com/read/the-fbi-is-wrongly-telling-people-to-change-passwords-frequently

Idée intéressante ! Qu'est-ce que cet expert propose comme alternative ?

Les gens doivent utiliser des gestionnaires de mots de passe, ce qui leur permettra d’avoir des mots de passe uniques pour chacune de leurs ressources. De plus, ils devraient être encouragés à utiliser l'authentification à deux facteurs, qui fournit un niveau de sécurité renforcé.

https://motherboard.vice.com/read/the-fbi-is-wrongly-telling-people-to-change-passwords-frequently

Qui a raison ? Comme toujours, chacun a sa propre vérité, mais il est important de comprendre les risques.

Les mots de passe peuvent être utilisés pour accéder au système d'exploitation, à des partitions de l'OS sur le disque dur, à des fichiers et dossiers particuliers, aux ressources Internet (messagerie, systèmes de banque à distance, espaces personnels etc.). Les mots de passe peuvent être entrés sur un ordinateur personnel ou sur les ordinateurs de votre entreprise réunis dans un réseau local.

Nous n'envisageons pas le cas où les attaquants connaissent le mot de passe à la suite d'une fuite (par exemple, via l'interception à distance des images sur l'écran) ou grâce à du matériel spécialisé : si un utilisateur normal est surveillé de cette manière, des organisations sérieuses y prêteront attention et pourront compter sur un budget sérieux.

Nous nous limitons à l'examen des fuites de mots de passe à la suite d’activité de pirates, d’employés curieux, voire d’enfants qui tentent de contourner les restrictions liées à l'accès à un PC ou à Internet pour la durée d'un jeu en ligne. Dans ces cas, le mot de passe peut être :

  • vu par quelqu'un d'autre (employés / conjoint / enfants ...);
  • volé par un programme malveillant ou par des pirates ayant accès à votre ordinateur ou à un périphérique (en général, toujours à cause d'un mot de passe faible).

Dans ce cas, le programme malveillant est souvent un Trojan. Le Trojan ne peut pas se propager lui-même, il ne peut être introduit sur l'ordinateur que par les pirates ou, et c'est souvent le cas dont les victimes des ransomware parlent souvent - par l'intermédiaire de l'utilisateur lui-même. La probabilité d'un piratage de l'ordinateur personnel existe, mais il est beaucoup plus probable qu'un Trojan soit lancé par l'utilisateur qui visite un lien ou un site malveillant. Autrement dit, la probabilité de pénétration de programmes malveillants sur votre ordinateur ou autres appareils dépend des qualités de l'antivirus utilisé ainsi que du comportement de l’utilisateur.

Est-ce qu'un gestionnaire de mots de passe
peut sauver d'une fuite de mot de passe
suite à l'activité d'un Trojan ?

Voici ce que le gestionnaire de mots de passe sait faire :

  • mémoriser les mots de passe saisis par l'utilisateur;
  • générer des séquences aléatoires pour créer des mots de passe.

Confier au gestionnaire de mots de passe la tâche de les modifier périodiquement est risqué, car en cas de perte d'accès au gestionnaire, tous les mots de passe seront perdus.

Certes, le gestionnaire de mots de passe peut sauver du risque d'être vu pendant la saisie manuelle d'un mot de passe, mais peut-il sauver des pirates ? Bonne question ! Après tout, comme tout logiciel, le gestionnaire de mots de passe peut contenir des vulnérabilités pouvant être exploitées par les pirates.

Afin d'éliminer les conséquences négatives d’éventuelles fuites, les mots de passe doivent être changés. Et il est souhaitable que le nouveau mot de passe soit connu du seul propriétaire de l'appareil. Par conséquent, il existe le risque que le mot de passe soit vu lors de sa saisie ou de sa génération et dans ce cas, le gestionnaire de mots de passe n'y peut rien.

Dr.Web recommande :

Toute protection donne quelque chose lorsqu'elle est gérée avec compréhension, y compris la connaissance de ses limites. Protégez vos mots de passe et changez-les régulièrement !

Evaluez les publications et recevez des Dr.Webonus ! (1 voix = 1 Dr.Webonus)

Authentifiez-vous et recevez 10 Dr.Webonus pour un lien vers une publication du projet dans un réseau social.

[Twitter]

En raison de limitations techniques liées aux réseaux sociaux Vk et Facebook, nous ne pouvons malheureusement pas vous offrir de DrWebonus. Mais vous pouvez partager gratuitement le lien vers cette publication.

Nous apprécions vos commentaires

10 Dr.Webonus pour un commentaire publié le jour de la sortie d’une news ou 1 Dr.Webonus un autre jour. Les commentaires sont automatiquement publiés et modérés après. Règles de commentaires de news sur le site de Doctor Web.

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs