Résultat de Have I Been Pwned : Il y a un problème

Comment les pirates informatiques volent des mots de passe

Il est rare qu’une semaine passe sans qu’une violation de données ne fasse la une des journaux ou que quelqu’un que vous connaissez ne révèle que l’un de ses comptes a été piraté.

Mais alors, pourquoi cela continue-t-il à se produire ? Quelles techniques les criminels utilisent-ils pour voler les identifiants de compte et que pouvez-vous faire pour vous protéger contre l'usurpation de mots de passe ?

Commençons par les deux premières questions. Voici les techniques les plus courantes que les pirates informatiques utilisent :

Ingénierie sociale et phishing

L'ingénierie sociale vise à vous manipuler pour vous amener à partager des données personnelles, comme votre mot de passe ou votre numéro de téléphone. L'agresseur tentera de vous piéger en se faisant passer pour une personne que vous connaissez ou en qui vous avez confiance (p. ex. votre responsable au travail, votre banque ou un vieil ami d'université) et en proposant une raison crédible pour laquelle vous devriez partager ces informations avec lui.

Le pirate informatique opère ici par « phishing » pour obtenir des informations. L'ingénierie sociale peut prendre la forme d'un e-mail d'un SMS ou d'un appel téléphonique (connu sous le nom de « vishing »). Les attaquants envoient souvent des attaques de phishing en masse à des centaines ou des milliers de personnes, en espérant que quelqu'un se laissera berner.

Fuites de mots de passe et bourrage d'identifiants

Les pirates sont rarement devant leur PC à tester différents mots de passe pour s’introduire dans vos comptes. Cela prend trop de temps et ils seront probablement bloqués après quelques tentatives infructueuses Ils privilégieront plutôt les informations d'identification qui ont été divulguées lors de précédentes failles de sécurité.

Les attaquants savent que les gens utilisent souvent un même mot de passe partout. Donc, s'ils connaissent le nom d'utilisateur et le mot de passe d'un ancien compte MySpace, il y a de fortes chances que les mêmes identifiants fonctionnent sur Yahoo. En pratique, les pirates utilisent des logiciels spécialisés pour tester les identifiants volés à grande échelle sur le Web. Ce type d’attaque est connu sous le nom de « bourrage d’identifiants ».

Attaques par dictionnaire et piratage de mots de passe hachés

Imaginez qu'un attaquant découvre une base de données de mots de passe. Il y a juste un problème : chaque identifiant a été brouillé par un algorithme de hachage pour des raisons de protection. Il pourrait tester tous les mots de passe possibles à l’aide d’algorithmes de hachage couramment utilisés, puis vérifier si le résultat correspond à quelque chose dans la base de données. Mais ce n'est guère efficace.

Au lieu de ça, les attaquants essaieront des mots, des phrases ou des mots de passe courants précédemment divulgués à partir d’une liste prédéfinie. Une fois que le hacker trouve une correspondance, il peut essayer d'utiliser le mot de passe désormais déchiffré pour accéder au compte associé, ou vérifier s'il fonctionne sur l'un des autres comptes en ligne de la victime.

OK, nous avons donc expliqué comment les pirates informatiques volaient des mots de passe. Maintenant, que pouvez-vous faire pour vous défendre contre ces tactiques et les violations de données en général ?

Utilisez un mot de passe unique pour chaque service.

La meilleure façon de vous protéger en ligne est d’utiliser des mots de passe forts et uniques pour chaque compte. Ainsi, même si vos données pour un site sont compromises, les autres restent sûres. Bien entendu vous ne pouvez pas créer et mémoriser des centaines de mots de passe, mais un gestionnaire de mots de passe le peut. Gagnez du temps en utilisant le générateur de mots de passe intégré de 1Password pour créer des mots de passe sécurisés pour chaque site Web et service, y compris Amazon, Instagram et Gmail.

Activez l'authentification multifacteur

L'authentification multifacteur ajoute une couche de sécurité supplémentaire à vos comptes en ligne en exigeant un deuxième facteur (généralement un code éphémère), en plus de votre nom d’utilisateur et mot de passe, pour vous connecter. 1Password vous indiquera quels sites Web prennent en charge l’authentification multifactorielle et agira en tant qu’authentificateur, en copiant et en saisissant automatiquement vos codes spéciaux à usage unique.

Restez au courant des menaces de sécurité avec Watchtower

Watchtower vous informe des violations de données et d’autres problèmes de sécurité liés à vos éléments enregistrés dans 1Password, notamment les sites Web où vous utilisez des mots de passe faibles ou réutilisés, ainsi que les services où il faudrait utiliser des clés d'accès. Suivre les notifications dans Watchtower est un moyen infaillible de renforcer votre sécurité et de réduire la probabilité que vos informations personnelles apparaissent sur le Dark Web.