4 raisons pour lesquelles les gestionnaires de mots de passe ne suffisent pas à protéger vos mots de passe

Publicité

Si vous avez minutieusement traversé les tracas de configuration d'un gestionnaire de mots de passe 7 super pouvoirs Clever Password Manager que vous devez commencer à utiliserLes gestionnaires de mots de passe comportent de nombreuses fonctionnalités intéressantes, mais les connaissiez-vous? Voici sept aspects d'un gestionnaire de mots de passe dont vous devriez profiter. Lire la suite , vous pourriez penser que vous êtes à l'abri des regards indiscrets des pirates informatiques et des cybercriminels.

Vous vous trompez.

Oui, les gestionnaires de mots de passe sont un outil précieux dans la bataille en cours pour assurer votre sécurité, mais ils ne sont pas à sécurité intrinsèque ou à l'épreuve des idiots, ni n'offrent une protection suffisante à eux seuls.

Voici quatre raisons pour lesquelles les gestionnaires de mots de passe ne suffisent pas à protéger vos mots de passe par eux-mêmes.

1. Les gestionnaires de mots de passe sont le Saint Graal pour les pirates

Les gestionnaires de mots de passe sont-ils très sécurisés

Faites-vous ces 6 erreurs de sécurité de Password Manager?Les gestionnaires de mots de passe ne peuvent être aussi sécurisés que vous le souhaitez, et si vous faites l'une de ces six erreurs de base, vous finirez par compromettre votre sécurité en ligne. Lire la suite ? Oui. Déploient-ils rigoureusement systèmes de cryptage et de cryptographie Comment les gestionnaires de mots de passe protègent vos mots de passeLes mots de passe difficiles à déchiffrer sont également difficiles à retenir. Vous voulez être en sécurité? Vous avez besoin d'un gestionnaire de mots de passe. Voici comment ils fonctionnent et comment ils vous protègent. Lire la suite ? Oui. Pouvez-vous affirmer catégoriquement qu'aucun pirate informatique ne pourra jamais pirater le système et accéder aux millions de mots de passe des utilisateurs qu'il contient?

Non.

Pensez-y: les services de gestion de mots de passe sont une perspective extrêmement séduisante pour les pirates. S'ils pouvaient percer les murs extérieurs des coffres de mots de passe, ils auraient accès à une quantité incalculable de trésors. Ils vont continuer d'essayer de s'introduire par effraction. C’est inévitable.

Prenons LastPass comme exemple. Les cybercriminels ont attaqué les serveurs deux fois LastPass a été piraté, Shenmue 3 Kickstarter, Final Fantasy 7 Remake, et plus... [Recueil de nouvelles techniques]Modifiez votre mot de passe LastPass, lancez Shenmue 3, refait Final Fantasy 7, Xbox One joue aux jeux Xbox 360, Netflix fait peau neuve et Conan joue Halo 5: Guardians. Lire la suite au cours des cinq dernières années. À chaque fois, la société était convaincue que ses utilisateurs n'avaient besoin que de changer le mot de passe principal pour leurs comptes et que les coffres de mots de passe étaient toujours sécurisés.

Mais les hacks prouvent qu'il existe des failles de sécurité. Est-ce seulement une question de temps jusqu'à ce qu'une personne autorisée y ait accès? Probablement.

2. Les experts disent que les gestionnaires de mots de passe ont de graves défauts

En 2014, les chercheurs en sécurité ont découvert que LastPass, RoboForm, My1login, PasswordBox et NeedMyPassword présentaient tous plusieurs failles de sécurité dangereuses.

La plus inquiétante des failles a permis aux pirates de voler des mots de passe en clair directement à LastPass utilisateurs utilisant le bookmarklet, sans que l'utilisateur ou la société ne sache que quelque chose a été faux.

LastPass présentait également une faille dans laquelle un code malveillant sur un site Web pouvait voler l'intégralité du coffre-fort de mot de passe crypté d'un utilisateur, tant que le pirate connaissait l'adresse e-mail de l'utilisateur.

RoboForm, My1login, PasswordBox et NeedMyPassword avaient tous des défauts tout aussi graves, y compris une faille ce qui a permis aux attaquants de voler le nom complet, le nom d'utilisateur et toute URL sur laquelle un mot de passe était entré.

Heureusement, les fournisseurs de services ont corrigé ces bogues, mais ce serait une folie de croire qu'ils sont maintenant parfaits. Il y a presque certainement encore des bogues non découverts, attendant que quelqu'un les trouve.

L'adoption généralisée de gestionnaires de mots de passe non sécurisés pourrait aggraver les choses: ajouter un nouveau point de défaillance unique non testé à l'écosystème d'authentification Web.

- Zhiwei Li, Warren He, Devdatta Akhawe et Dawn Song, auteurs de Le nouveau gestionnaire de mots de passe de l'empereur: analyse de la sécurité des gestionnaires de mots de passe basés sur le Web

En fin de compte, vous faites confiance au gestionnaire de mots de passe avec certains de vos détails les plus importants. Il n'est pas judicieux de mettre tous vos œufs dans le même panier.

3. Bases de données cloud vs Bases de données locales

Vous aurez remarqué que les cinq services dont j'ai discuté ci-dessus sont tous basés sur le Web. Si vous utilisez un gestionnaire de mots de passe local (tel que KeePass ou 1Password), ne vous laissez pas bercer par un faux sentiment de sécurité; l'étude n'a examiné que les options Web.

Il existe un argument pour suggérer que les gestionnaires locaux sont intrinsèquement plus sûrs que les gestionnaires basés sur le cloud. Il est plus difficile pour un pirate d'accéder au site et plus difficile de voler la base de données.

Mais ils ne sont pas infaillibles. Nous savons tous menaces de sécurité auxquelles sont confrontés les utilisateurs de postes de travail 5 menaces de sécurité en ligne dont vous devez informer vos amisVous seriez surpris de découvrir où tous les logiciels malveillants persistent aujourd'hui. Ce ne sont plus seulement des ordinateurs moyens, mais plus probablement n'importe quoi avec une sorte d'appareil connecté, y compris des jouets. Lire la suite : enregistreurs de frappe, pirates qui se cachent sur les réseaux Wi-Fi publics, logiciels malveillants sans fin, etc. Si vous n'avez pas la chance de vous retrouver attaqué, votre base de données de mots de passe enregistrée localement pourrait être l'une des premières choses que les pirates volent.

Et si votre base de données est enregistrée sur votre appareil mobile? Si vous perdez votre appareil, il pourrait facilement se retrouver entre de mauvaises mains. Oui, il est crypté, mais si vous avez configuré votre application pour n'avoir besoin que d'un mot de passe principal ou d'une empreinte digitale pour accéder à la base de données, le cryptage ne vaudra pas grand-chose.

4. Vos paramètres pourraient vous rendre vulnérable

Je l'ai abordé brièvement. Les gestionnaires de mots de passe ont de nombreux paramètres que vous pouvez modifier; certains d'entre eux rendre le service plus sûr 8 façons simples de booster votre sécurité LastPassVous utilisez peut-être LastPass pour gérer vos nombreux mots de passe en ligne, mais l'utilisez-vous correctement? Voici huit étapes que vous pouvez suivre pour rendre votre compte LastPass encore plus sécurisé. Lire la suite . Cependant, beaucoup d'entre eux sont conçus pour plus de commodité - leur activation vous rendra plus vulnérable.

Par exemple, LastPass ne vous demandera pas automatiquement votre mot de passe principal lorsque vous essayez d'accéder aux informations d'identification d'une personne dans votre coffre-fort (Paramètres> Paramètres avancés> Demander à nouveau le mot de passe principal).

De plus, la plupart des applications mobiles des services vous permettent de désactiver l'authentification par empreinte digitale et / ou mot de passe jusqu'à 24 heures après chaque connexion réussie. Ne le fais pas. Souhaitez-vous laisser votre banque en ligne connectée pendant 24 heures pour économiser quelques clics?

Et bien sûr, faites attention à qui vous partagez les mots de passe avec le service de partage intégré des services - peut-être que leurs paramètres laisseront vos comptes exposés? Assurez-vous que vos amis et votre famille sont conscients des implications pour la sécurité.

Ne prenez pas de raccourcis. Au lieu de cela, passez du temps à travailler sur les paramètres avancés de vos services et à les rendre tous aussi robustes que possible.

Gestionnaires de mots de passe: à utiliser ou à éviter?

Les gestionnaires de mots de passe sont-ils meilleurs que de stocker toutes vos informations sur une feuille Excel ou d'utiliser les mêmes informations d'identification pour chaque site? Incontestablement. Mais s’ils sont aussi sûrs que vous aimeriez le croire, cela est discutable.

La plupart des gens utilisent les services pour la commodité autant que pour la sécurité. Mais ce faisant, vous vous compromettez potentiellement. Je ne vais pas vous dire d'arrêter de les utiliser, mais procédez avec prudence. Par exemple, vous devriez peut-être divisez votre mot de passe entre plusieurs gestionnaires 5 meilleures alternatives LastPass pour gérer vos mots de passeBeaucoup de gens considèrent LastPass comme le roi des gestionnaires de mots de passe; il regorge de fonctionnalités et compte plus d'utilisateurs que n'importe lequel de ses concurrents - mais c'est loin d'être la seule option! Lire la suite ?

Et rappelez-vous, l'essentiel est qu'il n'y a pas de remplacement pour votre propre cerveau. Si vous pouvez créer un code fort que vous ajustez légèrement pour chaque connexion individuelle, vous aurez plus de sécurité que tout gestionnaire de mots de passe pourrait offrir.

Faites-vous confiance aux gestionnaires de mots de passe? Faites-le nous savoir dans les commentaires ci-dessous.