High Tech

Sécuriser votre vie numérique, la finale : démystifier sans valeur

Photographie en gros plan extrême d'un pot de pilules étiqueté
Agrandir / Prenez-en un par jour pour éloigner Evil Hackerman !

La sécurité de l’information et la confidentialité souffrent du même phénomène que nous voyons dans la lutte contre le COVID-19 : »j’ai fait mes propres recherches« . De nombreuses pratiques de sécurité et de confidentialité sont des choses apprises de seconde ou de troisième main, basées sur des livres anciens ou des choses que nous avons vues à la télévision – ou elles sont le résultat d’apprendre les mauvaises leçons d’une expérience personnelle.

J’appelle ces choses la « cyber médecine populaire ». Et au cours des dernières années, je me suis retrouvé à essayer de défaire ces habitudes chez les amis, la famille et les membres aléatoires du public. Certaines pratiques cyber sont inoffensives ou peuvent même fournir une petite protection accessoire. D’autres vous donnent un faux sentiment de protection tout en affaiblissant activement votre vie privée et votre sécurité. Pourtant, certaines de ces croyances sont devenues si répandues qu’elles sont devenues la politique de l’entreprise.

J’ai posé cette question à des amis sur InfoSec Twitter : « Quel est le conseil de sécurité le plus stupide que vous ayez jamais entendu? » Beaucoup de réponses figuraient déjà sur ma liste substantielle de contre-mesures mythologiques, mais il y en avait d’autres que j’avais oubliées ou même pas envisagées. Et apparemment, certaines personnes (ou entreprises… ou même vendeurs !) ont décidé de ces mauvaises idées. sont canon.

Si je me répète des articles précédents, c’est uniquement parce que j’entends sans cesse ces mauvais conseils. Cet article n’éliminera malheureusement pas ces pratiques – elles sont tellement ancrées dans la culture qu’elles continueront à être transmises et pratiquées religieusement jusqu’à ce que les faiblesses technologiques qui leur permettent d’exister se soient estompées dans l’antiquité. Mais ensemble, nous pouvons au moins essayer de mettre fin à la folie de ceux qui font partie de nos cercles d’influence.

Mythe : Tu changeras ton mot de passe tous les 30 jours

Les mots de passe font partie de la sécurité informatique depuis 1960, lorsque Fernando Corbato ajoutée mots de passe pour les fichiers personnels au système compatible de temps partagé (CTSS) du MIT. Et presque immédiatement, ils sont devenus, comme l’a admis Corbato lui-même, « un cauchemar ». Depuis lors, toutes sortes de mauvais conseils (et de mauvaises politiques d’entreprise) ont été diffusés sur la façon d’utiliser, de gérer et de modifier les mots de passe.

Les limites technologiques ont été dans le passé la principale chose qui dictait la politique des mots de passe — les limites sur le nombre et le type de caractères, par exemple. La faible sécurité des mots de passe courts a conduit à des politiques exigeant que les mots de passe soient fréquemment modifiés. Mais les systèmes d’exploitation et les systèmes de sécurité modernes ont rendu obsolète toute la danse du changement de mot de passe court contre mot de passe fréquent, n’est-ce pas ?

Apparemment non. Non seulement ces méthodes traditionnelles ont continué à être utilisées pour se connecter aux ordinateurs personnels au travail, mais elles ont également été intégrées aux services aux consommateurs sur le Web. Certains sites bancaires et de commerce électronique ont des tailles maximales strictes pour les mots de passe. Et, probablement en raison d’une mauvaise conception du logiciel et de la peur des scripts intersites ou des attaques par injection SQL, certains services limitent également les types de caractères pouvant être utilisés dans les mots de passe. Je suppose que c’est juste au cas où quelqu’un voudrait utiliser le mot de passe « le mot de passe’); DROP TABLE utilisateurs ;– » ou quelque chose.

Qu’il s’agisse d’un mot de passe ou d’un ÉPINGLER, les politiques qui limitent la longueur ou les caractères affaiblissent la complexité et la sécurité. Les mots de passe longs avec des caractères tels que des espaces et des signes de ponctuation sont plus mémorisables que des nombres arbitraires ou des morphes de mots. La définition de Microsoft d’un code PIN est essentiellement un mot de passe spécifique au matériel qui contrôle l’accès à l’appareil et les informations de connexion sur la base de la magie noire du module de plate-forme de confiance ; un code PIN à quatre chiffres pour l’accès à l’appareil n’est pas plus sûr qu’un code PIN à base de lettres et de chiffres si quelqu’un a volé votre ordinateur et le frappe à loisir.

Choisissez un mot de passe suffisamment long et complexe pour un ordinateur personnel ou professionnel, et vous ne devriez avoir à le changer que s’il a été partagé ou volé par quelqu’un d’autre. Changer les mots de passe tous les 30 jours ne fait que rendre les mots de passe plus difficiles à mémoriser et peut amener les gens à développer de mauvaises solutions de contournement pour la création de mots de passe qui se traduisent par des mots de passe plus faibles, par exemple, en incrémentant les nombres à la fin :

  • Pa55w0rd1
  • Pa55w0rd2
  • Pa55w0rd3
  • … vous pouvez voir où mène cette folie

Alors choisissez un mot de passe complexe mais mémorable pour votre connexion à votre ordinateur ou votre téléphone, comme le suggère XKCD (mais n’utilisez pas celui de la bande dessinée – peut-être en générer un avec Dés!). Ne le réutilisez pas ailleurs. Et ne le changez pas, sauf si vous y êtes obligé.

Mythe : ne l’écrivez pas !

Beaucoup d’entre nous ont vu le pire des scénarios dans la gestion des mots de passe : des mots de passe sur des post-it collés sur des moniteurs dans des cabines, attendant juste d’être abusés. Cette habitude a conduit de nombreux futurs mentors en sécurité à crier : « N’écrivez pas vos mots de passe ! »

Sauf toi probablement devrait notez-les, mais pas sur un post-it dans votre cabine. De nombreux services d’authentification à deux facteurs favorisent en fait l’impression et la sauvegarde des codes de récupération au cas où vous perdriez l’accès à votre application ou appareil à deuxième facteur, par exemple. Et vous ne pouvez pas enregistrer les mots de passe des appareils dans un gestionnaire de mots de passe, n’est-ce pas ?

Certaines personnes insistent pour écrire les mots de passe dans un cahier (Bonjour, maman !). Ne dites jamais à ces gens qu’ils ont tort, mais faire encouragez-les à le faire seul pour les mots de passe qui ne peuvent pas être stockés dans un gestionnaire de mots de passe ou qui peuvent être nécessaires pour récupérer des sauvegardes et des services si un appareil est endommagé ou perdu, par exemple, si vous avez un identifiant Apple. Vous voulez que ces mots de passe de grande valeur soient complexes et mémorisables, mais ils sont rarement utilisés, ils peuvent donc être plus facilement oubliés. Allez-y, écrivez-les. Et puis mettez les mots de passe écrits (et vos codes de récupération 2FA !) dans un endroit non public et sûr auquel vous pouvez accéder lorsque les choses tournent mal.

est quelque chose que vous ne devriez pas faire avec les mots de passe, cependant, et qui les conserve dans un fichier texte ou dans un autre format non crypté. Lors d’un récent incident d’intrusion que j’examinais, l’une des premières choses que les criminels ont réussi à faire a été de trouver un fichier appelé Password List.xlsx. Vous pouvez imaginer comment les choses se sont passées à partir de là. Et apparemment, cela se produit régulièrement dans certaines entreprises :

Maintenant, si ces fichiers étaient des documents Office protégés par mot de passe, il y aurait au moins un peu d’espoir, puisqu’Office utilise le cryptage AES et effectue un important brassage SHA-1 des mots de passe pour générer les clés dans les versions plus récentes. Dans les cas où vous ne pouvez pas conserver les mots de passe dans un gestionnaire de mots de passe mais devez en garder une trace, il s’agit d’un niveau de sécurité acceptable dans la plupart des cas.

Mythe : 2FA est 2 effrayant 4 moi

Je suis un fervent partisan de l’authentification à deux facteurs (« 2FA ») comme moyen de protéger les identifiants de connexion ; cela m’a évité à quelques reprises de me faire pirater des comptes après que des violations de fournisseur ont révélé mes mots de passe. (Il y a eu aussi une fois où j’ai perdu l’accès à un compte de messagerie parce qu’un fournisseur de nom de domaine a décidé de ne pas renouveler automatiquement mon domaine personnel et l’a plutôt vendu à un opérateur de blog frauduleux. Je vous laisse deviner lequel le registraire m’a sali de cette façon.) Mais je vois souvent des gens décider de ne pas utiliser 2FA parce qu’ils ont vu quelque part que 2FA via SMS est moins sécurisé, mais ils n’ont pas vu l’autre partie concernant l’utilisation d’une application d’authentification ou d’une autre méthode à la place si possible. Et puis ils sont arrivés à tort à la conclusion que le 2FA précédent est plus sûr que le 2FA avec SMS.

Laisse moi être clair: tout 2FA est mieux que pas de 2FA. Et avec les types habituels de tentatives de force brute que les attaquants font contre les services cloud courants, tout 2FA rendra environ 90 % de ces tentatives totalement infructueuses (et les 10 % restants entraîneront simplement un déni de service potentiellement récupérable). Vous voulez certainement certains forme de 2FA sur un compte Amazon ou tout ce qui a un lien avec vos informations d’achat, quel que soit le type de 2FA.

Mais le simple fait d’avoir 2FA n’est pas une garantie que quelqu’un ne réussira pas à obtenir ce qu’il veut. Certaines attaques de phishing parviennent désormais à contourner l’authentification à deux facteurs en utilisant des attaques « passthrough » 2FA :

Si vous recevez un e-mail avec un lien qui vous dirige vers un site Web vous demandant vos informations d’identification, et que vous recevez ensuite une alerte 2FA pour votre connexion, cela ne signifie pas nécessairement que le lien était légitime et que vous devez donner le code ou appuyer sur le  » bouton approuver ». Cela pourrait être une tentative pour simplement vous faire aider l’attaquant. Regardez attentivement ce lien. Ensuite, appelez votre équipe de sécurité, peut-être. (L’équipe de sécurité de mon employeur actuel tente de m’hameçonner 2FA deux ou trois fois par mois ces jours-ci.)

Utilisez donc 2FA. Mais faites attention à vos demandes de connexion et n’approuvez pas les demandes étranges.




Source link

Articles similaires

Bouton retour en haut de la page