Publicité

Chaque fois que vous vous inscrivez sur un site, vous leur faites confiance avec vos informations personnelles. Ils ont accès à votre adresse e-mail au moins, et probablement beaucoup plus - y compris, bien sûr, votre mot de passe.

Mais comment savoir si le site prend correctement en charge vos informations privées? Pourquoi est-ce un problème lorsque les sites stockent les détails du compte en texte brut? Et que pouvez-vous y faire?

Qu'est-ce que Plaintext? Pourquoi est-ce un problème?

Le texte en clair est exactement ce à quoi il ressemble: votre mot de passe est stocké exactement comme vous l'écrivez.

Supposons qu'un site que vous utilisez a été piraté. Le pirate a accès à une liste de comptes avec des mots de passe notés. Supposons que votre mot de passe soit "Pa $$ w0rd" (et nous espérons vraiment qu'il ne l'est pas). Le cybercriminel peut parcourir la liste, trouver votre adresse e-mail et lire facilement que votre identifiant «sécurisé» est «Pa $$ w0rd».

Le gros problème est, peu importe à quel point votre mot de passe est obscur et inaccessible. Parce que toute personne ayant accès à votre compte peut le lire aussi facilement que vous lisez ceci.

instagram viewer

mot de passe d'enregistrement par e-mail stocké sous forme de texte en clair

C'est encore plus inquiétant si vous utilisez le même mot de passe sur de nombreuses plateformes. MakeUseOf déconseille de le faire pour cette raison même, comme le font tous les experts en sécurité. Néanmoins, nous comprenons la tentation de conserver un mot de passe facile à retenir.

Mais si vous le faites, vous risquez que des pirates informatiques utilisent des sources de texte en clair divulguées pour accéder à vos comptes bancaires en ligne, à votre Facebook et à tout ce sur quoi vous dupliquez le mot de passe.

On estime que 30% des sites de commerce électronique stockent leurs mots de passe en texte brut. Ce n'est pas quelque chose que nous pouvons facilement ignorer.

Il ne se limite pas non plus aux petits sites indépendants. Certaines grandes entreprises ont été rattrapées, notamment la LNH, Match.com, LinkedIn, le National Trust et Vodafone. Heureusement, ils ont depuis mis en œuvre des méthodes de stockage plus sécurisées.

Comment les mots de passe peuvent-ils être stockés en toute sécurité?

Quelle est l'alternative au texte en clair? En fait, il existe quelques options pour stocker les mots de passe, mais tous ne sont pas aussi sécurisés qu'ils peuvent le paraître au départ.

De nombreux sites utilisent une fonction de hachage, qui transforme votre mot de passe en un autre ensemble de chiffres. Si un pirate informatique entre, il ne peut voir que ces personnages aléatoires. C'est un algorithme imparfait, cependant, car chaque fois que vous entrez votre mot de passe, il génère le même hachage. Le système s'assure ensuite que ces chiffres sont en corrélation pour vous donner accès à votre compte.

Et oui, ils peuvent être piratés, notamment par des attaques par force brute.

Si vous exécutez un site de commerce électronique, vous devez plutôt utiliser des hachages salés. Ceux-ci prennent le même principe, mais des chiffres supplémentaires bloquent votre mot de passe avant qu'il n'entre dans l'algorithme de hachage.

Les hachages lents sont encore meilleurs: ils limitent le nombre de fois qu'un pirate peut attaquer l'ensemble de données par seconde. Si un cybercriminel sait qu'il lui faudra plus de temps pour déchiffrer un mot de passe, il est moins susceptible de cibler le compte.

Comment savoir si un site stocke des mots de passe en tant que texte en clair

C’est difficile à dire à moins de travailler pour l’entreprise en question. Et si vous le faites, vous devez avertir votre équipe technique que le stockage de données privées en texte brut est contraire à l'éthique.

Pourtant, il y a un bon indicateur que vous pouvez utiliser. Si vous créez un compte et que le site vous envoie un e-mail qui répertorie votre mot de passe, il est probablement stocké en texte brut.

mot de passe stocké sous forme de texte brut affiché par e-mail

Ils ne sont certainement pas sûrs si vous cliquez sur "Mot de passe oublié" et ils vous l'envoient par e-mail. S'il avait été chiffré, ils ne seraient pas en mesure de le faire. Au lieu de cela, vous devez vérifier qu'il s'agit bien de votre compte, puis réinitialiser complètement votre mot de passe.

Les e-mails ne sont pas sécurisés de toute façon. Ils sont sensibles au piratage. Même si le site ne stocke pas vos informations sous forme de texte en clair, vous envoyer un message détaillé n'est pas sûr.

Si vous souhaitez adopter une approche approfondie de vos actifs en ligne, utilisez un mot de passe d'espace réservé lors de votre inscription dans une boutique en ligne. Cliquez ensuite sur «Perdu mon mot de passe» (ou sur une variante de celui-ci) et vérifiez votre courrier électronique. Si la seule option est de le réinitialiser, faites-le.

Sinon, si vous pouvez voir clairement votre mot de passe d'espace réservé dans votre boîte de réception, c'est un signe inquiétant.

Vous pouvez également vérifier Délinquants Plaintext, un site dédié à mettre en avant les entreprises qui ne prennent pas suffisamment votre sécurité au sérieux.

Que peux-tu y faire?

Si vous pensez qu'un site stocke votre mot de passe en texte brut, envoyez-lui un e-mail. Demandez-leur de répondre à vos préoccupations.

Vous devriez les entendre, auquel cas ils vous assureront probablement qu'ils utilisent le cryptage pour sécuriser vos informations. Mais ne laissez pas cela vous dissuader. Je ne crois pas au mythe selon lequel le cryptage est infaillible Ne croyez pas ces 5 mythes sur le chiffrement!Le chiffrement semble complexe, mais il est beaucoup plus simple que la plupart des gens le pensent. Néanmoins, vous pourriez vous sentir un peu trop dans le noir pour utiliser le cryptage, alors jetons un coup d'œil à certains mythes sur le cryptage! Lire la suite .

Sinon, nous devons parler de la limitation des dommages. N'utilisez pas les mêmes informations d'identification pour tout. Nous savons que c'est tentant et vous pensez probablement qu'il n'y a pas vraiment de mal à cela. Mais vous vous trompez. Nous sommes sûrs qu'une entreprise que vous avez utilisée dans le passé a déjà été piratée. Cela pourrait être MySpace Votre compte MySpace oublié révèle tous vos secretsRappelez-vous MySpace? Le réseau social avec lequel vous vous êtes inscrit des années avant Facebook... oh, tu as oublié? Eh bien, MySpace ne vous a pas oublié. Et cela aurait pu fuir toutes vos informations privées. Lire la suite , Tumblr, Dropbox… ou toute une série de sites.

Vérifiez en tapant votre adresse e-mail dans Ai-je été pwned.

Les gestionnaires de mots de passe sécurisent-ils Plaintext?

comment vérifier si votre adresse e-mail a été divulguée

Les gestionnaires de mots de passe sont un bon moyen de protéger vos informations d'identification sans avoir à les mémoriser toutes. Vous utilisez un mot de passe sécurisé pour accéder au gestionnaire qui connaît le reste pour vous.

Mais ils n'aident pas à combattre les sites utilisant du texte en clair. Le gestionnaire est un système de stockage pour votre sécurité, pas celui du site. Vos données privées seront toujours lisibles si quelqu'un entre dans votre compte.

Néanmoins, vous êtes clairement intéressé à garder vos informations privées pour vous, il y a donc certainement avantages de l'utilisation des gestionnaires de mots de passe 7 super pouvoirs Clever Password Manager que vous devez commencer à utiliserLes gestionnaires de mots de passe comportent de nombreuses fonctionnalités intéressantes, mais les connaissiez-vous? Voici sept aspects d'un gestionnaire de mots de passe dont vous devriez profiter. Lire la suite .

Les mots de passe en clair ne sont pas sécurisés!

Le texte en clair signifie simplement que votre mot de passe est stocké exactement tel que vous l'écrivez. Et c'est un problème car les pirates peuvent facilement le lire. Assurez-vous de lire dumping des informations d'identification et comment vous protéger Qu'est-ce que le dumping des informations d'identification? Protégez-vous avec ces 4 conseilsLes pirates ont une nouvelle arme: le dumping des informations d'identification. Qu'Est-ce que c'est? Comment éviter que vos comptes soient compromis? Lire la suite .

Une fois inscrit sur un site, les e-mails de bienvenue que vous avez reçus ne doivent pas contenir votre mot de passe; s'ils le font, cela indique qu'un compte utilise du texte en clair. Si vous cliquez sur "Mot de passe oublié" et que le mot de passe vous est envoyé par e-mail, cela signifie que vos informations personnelles sont conservées de manière non sécurisée.

Vous craignez qu'un site ne le fasse pas en toute sécurité? Envoyez-leur un courriel au sujet de vos inquiétudes. Ils peuvent vous assurer qu'ils utilisent le cryptage, mais rien n'est incassable. Sinon, découvrez comment les sites Web réputés doivent stocker les mots de passe Comment les sites Web sécurisent-ils vos mots de passe?Avec les violations régulières de la sécurité en ligne signalées, vous êtes sans aucun doute préoccupé par la façon dont les sites Web traitent votre mot de passe. En fait, pour la tranquillité d'esprit, c'est quelque chose que tout le monde doit savoir… Lire la suite et dites-leur.

Lorsqu'il ne regarde pas la télévision, ne lit pas de bandes dessinées de livres et de Marvel, écoute The Killers et est obsédé par les idées de scénario, Philip Bates se fait passer pour un écrivain indépendant. Il aime tout collectionner.