PC-ATI est une équipe de bénévoles qui vous apporte une assistance entièrement gratuite, inscrivez-vous pour participer au forum.

Conseils de sécurité pour vos mots de passe

Ici sera stocké les informations concernant les malwares et les annonce CERT-FR ou autres
Répondre
Avatar du membre
Amesam
Administrateur du site
Messages : 406
Enregistré le : lun. 5 juin 2017 17:23

Conseils de sécurité pour vos mots de passe

Message par Amesam »

Conseils de sécurité pour vos mots de passe

Image



Pas toujours facile de se souvenir de ses mots de passe.
Nous allons voir dans ce sujet quelques conseils sur vos mots de passe.
Ce qu'il faut faire et éviter.
Comment les stocker et/ou de les retenir.
Mais avant tout voyons comment ils se font attaquer.



Quels types d'attaques peut subir vos mots de passe :

Image

Attaques par force brute :
Cette attaque consiste à tester toutes les combinaisons possibles dans le but de craquer un mot de passe. Plus il existe de combinaisons possibles pour former un mot de passe, plus le temps moyen nécessaire pour retrouver ce mot de passe sera long.
Un mot de passe, d’une longueur minimale d'une quinzaine de caractères et constitué d’au moins quatre groupes de caractères (minuscules, majuscules, caractères spéciaux et chiffres), ne pourra pas en général être découvert par cette attaque. Le temps serait trop long pour le hacker pour découvrir le mot de passe, cela prendrait peut-être des jours, voir des mois.
Un mot de passe simple, par exemple avec que des minuscule et inférieur à dix caractères prendrait à ce même hacker quelques minutes pour découvrir le mot de passe. Voilà pourquoi on vous oblige très souvent lors de la création de mot de passe de saisir au moins des minuscules, des majuscules et des chiffres, malheureusement beaucoup de service limite le nombre de caractères, parfois 8 maxima. Donc il faut systématiquement utiliser les quatre groupes de caractère (minuscules, majuscules, caractères spéciaux et chiffres).


Attaques par dictionnaires :
Cette attaque consiste à tester une série de mots issus d’un dictionnaire. Il existe toutes sortes de dictionnaires disponibles sur Internet pouvant être utilisés pour cette attaque (dictionnaire des prénoms, noms de célébrité, d’auteurs...). En utilisant un mot de passe n’ayant aucune signification cette attaque ne donnera aucun résultat. Mais cette attaque cherche tout de même à pousser la recherche en adaptant d'autres caractères. Elle peut essayer de remplacer des S pour des 5, par exemple passerelle serait remplacé par pa55erelle, ajouter également un ou des chiffres en début de mot ou fin de mot. Donc, pour ne pas faire face à cette attaque, votre mot de passe doit être totalement aléatoire et fait de caractère différent. Si vous écrivez un mot de passe du type : R0bertDup0nt, il y a de grande chance que celui-ci soit vite hacker en cas d'attaque.


Attaques par Ingénierie sociale
C'est une pratique de manipulation, de fraude psychologique. Le hacker utilise ces dons de persuasion, de manipulation psychologique sur sa victime, et cela, dans le but de lui soustraire des informations privées et en l' occurrence l’identifiant et le mot de passe. Le plus souvent, l'attaquant se fait passer pour le responsable du service informatique d'une soit disante entreprise de distribution de logiciels ou tout simplement pour l'assistant de votre conseillé banquier. Cela se fait le plus souvent à distance, par téléphone, attaque par le web... Vous avez peut-être déjà vu une page internet vous disant que votre ordinateur rencontre des soucis ou qu'il est victime d'une attaque et que vous devez téléphoner à tel numéro pour résoudre ces soucis. Vous avez peut-être même déjà reçu directement un coup de téléphone annonçant que le service de votre banque rencontre des soucis de connexion et vous demande de vérifier ensemble la connexion. Le hacker cherche à abuser de la confiance, de l’ignorance de sa victime pour lui soustraire des informations confidentielles.


Attaques par Sniffing :
Le reniflage (Sniffing) est une technique qui consiste à analyser le trafic réseau et de trouver un point d'entrée. Le plus souvent par le biais de votre fournisseur d'accès à Internet (FAI). Une fois que le hacker est entré dans le système réseau, il peut alors l'analyser et y trouver des informations sensibles, comme votre identifiant et mot de passe. Si vous avez stocké sur un fichier de votre ordinateur vos identifiants, cela lui simplifiera la tâche. Ces pratiques sont souvent utilisées contre des entreprises. Le piratage entre entreprises ça existe aussi et si le hacker se trouve au bon moment, bon horaire, il peut récupérer énormément d'identifiant, de mot de passe d'une entreprise qui ne sera pas correctement protégée. Pour cela, les entreprises utilisent des protocoles chiffrés ou tout simplement des détecteurs de sniffer.


Attaques par keylogger :
Un keylogger est chargé d'enregistrer à l'insu de l'utilisateur, les frappes des touches du clavier. Pas d'action néfaste sur le système. Sa fonction est d'enregistrer et de diffuser vos identifiants et mots de passe, codes de carte bancaire... Ce logiciel est chargé de contrôler les frappes au clavier et de les enregistrer dans un journal et ce n'est pas forcément illégal. Il existe par exemple une multitude d’applications légitimes qui permettent aux administrateurs d'une entreprise de suivre le travail des employés. Certains logiciels intègrent ces keylogger, mais ils également et malheureusement utilisé pour des actions frauduleuses afin de récupérer vos identifiants et mot de passe. La majorité des délits informatiques liés au piratage sont perpétrés à l’aide de keyloggers car ils constituent un mécanisme de surveillance complet et très fiable.
Les keyloggers néfastes sont généralement utilisés avec d’autres programmes malveillants et il existe aujourd'hui beaucoup de technologie différentes pour ces keyllogers.


Attaques par phishing :
Le phishing est une technique utilisée pour amener une personne, soit par e-mail ou via un site Web à entrer des données dans des champs qu'elle croit légitimes. Le phishing dit aussi hameçonnage ou filoutage est une attaque de type Ingénierie sociale consistant à récupérer les identifiants des internautes, tout simplement en leur demandant de les donner, sans éveiller le moindre soupçon de leur part. Par exemple, un lien de phishing intégré dans un e-mail peut conduire à un site Web qui ressemble à celui de votre banque. Lorsque vous vous connectez et que votre identifiant et mot de passe sont saisis, la page semble se bloquer ou ne pas se charger. Pendant ce temps, le hacker a un accès illimité à votre connexion, bancaire, réseaux sociales et autres.


Utilisez des mots de passe différents pour vous authentifier auprès de vos différents services.

Image

Vos messageries.
Votre mot de passe de messagerie est sans aucun doute l’un des plus importants à protéger.
L’utilisation d’un même mot de passe pour sa messagerie professionnelle et pour sa messagerie personnelle est forcément à proscrire impérativement.
Votre adresse de messagerie est généralement associée à beaucoup de vos comptes en ligne.
En cas de piratage de votre messagerie, il serait facile d'utiliser les différents services auxquels vous pouvez accéder, comme votre compte bancaire par exemple et d'utiliser la fonction "mot de passe oublié".

Les réseaux sociaux.
L’identification sur vos réseaux sociaux doit être également faite avec des mots de passe différents. Vous ne voudriez pas que votre vie personnelle soit entre les mains de n’importe qui ! Imaginez qu'un pirate accède par exemple à votre compte Facebook et que vous ayez le même mot de passe, sur Twitter, Pinterest, Instagram... Cela pourrait être très embêtant.

Vos sites/forums préférés
Configurez votre navigateur web, pour qu’ils ne se souviennent pas des mots de passe choisis. Encore une fois, il serait facile pour un pirate qui prend possession de votre ordinateur de récupérer tous ces mots de passe enregistrés par défaut. Que ce soit pour votre forum préféré, votre site favori et bien évidemment le site de votre banque ne faites jamais cette erreur d'enregistrement automatique de votre navigateur.


Comment créer un bon mot de passe ?

Image

Les bons reflexes
Un bon mot de passe est avant tout un mot de passe fort, c’est-à-dire difficile à trouver même à l’aide d’outils automatisés. Nous avons vu que la force d’un mot de passe dépend de sa longueur et du nombre de possibilités existantes pour chaque caractère. Vous avez compris qu'un mot de passe constitué de minuscules, de majuscules, de caractères spéciaux et de chiffres est techniquement plus difficile à découvrir qu’un mot de passe constitué uniquement de minuscules. Mais un bon mot de passe doit être facile à retenir. En effet, si un mot de passe est trop compliqué à retenir, l’utilisateur, vous, serez tenté d'inscrire ce mot de passe sur un fichier de votre ordinateur, ou de le stocker dans un endroit qui sera peut-être sensible.

Comment faire et comment le créer :
Plusieurs possibilités s’offrent à vous, soit vous utiliser un générateur de mot de passe, mais dans ce cas, il sera pratiquement impossible de vous en rappeler. Vous pouvez également utiliser des logiciels comme par exemple Keepass, Lastpass pour stocker vos mots de passe. Mais la meilleure solution est d'utiliser un moyen mémo-technique.
Pour cela, nous allons prendre quelques exemples.
Pour la création d'un nouveau mot de passe, pensez à une chose en relation avec votre connexion. Imaginons par exemple sur un de vos réseaux social, vous pourriez vous poser une question, comme par exemple, quel est le pourcentage de femmes et d'hommes dans mes amis.
Imaginons que vous avez 100 amis dont 45 femmes et 55 hommes. Votre phrase pourrait être :
"J'ai un pourcentage d'amis sur Facebook de 45 pourcent de femme et 55 pourcent d'hommes". Votre mot de passe pourrait ce constitué des consonnes en majuscule et en minuscule, des chiffres et des caractères spéciaux. Cela pourrait donner : J'ai un % d'amis sur Facebook de 45 % de femme et 55 % d'hommes.
Votre mot de passe serait par exemple : J'n%d'mssrFcbkd45%dfmmt55%d'hmms
Celui-ci serait impossible à démonter avec un outil :hehe: Une trentaine de caractères est un mot de passe très fort.
Prenons un exemple plus simple. Imaginez la photo de votre profil de votre réseau. Vous pourriez vous dire : Ma photo de profil est un couché de soleil des vacances au Brésil en Juillet 2019. Imaginons que cette fois-ci, vous ne prenez que les premières lettres de chaque mots de cette phrase : Ma photo de profil est un couché de soleil des vacances au Brésil en 08/2019.
Votre mot de passe serait par exemple : MpdpeucdsdvaBe0/2
Bon celui-ci est plus court, mais ne contient qu'un caractère spécial, vous pourriez par exemple ajouter un @ en début de mot de passe ou un #, ce qui donnerait @MpdpeucdsdvaBe0/2.
Une troisième idée serait peut-être votre meilleur ami(e) de votre réseau social. Par exemple, mon meilleur amis est Rodolphe et il est né en novembre 1969 et je le porte dans mon cœur. Cela donnerait : #Rdph11/69<3 le signe <3 est le cœur sur Facebook.
Ces exemples, ont pour but de vous faire comprendre que vous devait trouver un moyen mémo technique pour la construction de votre mot de passe. Cela vous permettra de créer facilement un mot de passe fort et facile à retenir. À vous de laisser votre imagination travailler.

Image

Conclusion :
Les mots de passe devraient avoir une date de validité maximale. À partir de cette date, l’utilisateur ne devrait plus pouvoir s’authentifier sur le système si le mot de passe n’a pas été changé. Ceci permettrait d’assurer qu’un mot de passe découvert par un utilisateur mal intentionné, ne sera pas utilisable indéfiniment.
Prenez le reflex de renouveler vos mots de passe avec une fréquence raisonnable pour les accès contenant des données sensibles.
Pensez à une fréquence de renouvellement. Tous les trimestres, semestres. Cela dépend de vos habitudes de connexion.
Ne stockez jamais les mots de passe dans un fichier qui se trouve que votre ordinateur et construisez systématiquement des mots de passe forts.
Soyez prudent des attaques sur votre ordinateur et des attaques d'ingénierie sociale, la manipulation est un art que certaines personnes maîtrisent très bien.

Rejoignez le forum PC-ATI pour échanger avec nous.
Image

Répondre