Comment empêcher un hack de style Gawker de vous mettre en danger

Voici deux faits clés pour toutes ces personnes qui vont être compromises par le violation et publication ultérieure de 1,3 million de combinaisons de noms d'utilisateur, mots de passe et comptes de messagerie de Gawker.com :





1) Théoriquement, ce genre de chose pourrait arriver tout le temps, en raison du grand nombre de sites Web qui ont maintenant au moins un de nos mots de passe.

2) Il est pathétiquement facile de s'assurer que ce type d'attaque ne menace jamais votre sécurité en ligne.

Tout d'abord, commençons par le plus bref aperçu possible des faits. Si vous avez déjà digéré le reste de la couverture sur ce sujet, vous pouvez sauter les deux paragraphes suivants, et si vous vous demandez déjà pourquoi il est incroyablement imprudent d'utiliser le même mot de passe sur plusieurs sites, vous pouvez sauter les quatre suivants.



Les pirates sont entrés dans la base de données des comptes de commentateurs (et toutes les autres bases de données, apparemment) de Gawker.com. Cette base de données comprend non seulement les noms d'utilisateur et les mots de passe, mais également les adresses e-mail. Nous le savons parce qu'ils ont rendu toute la base de données publique - elle est disponible via BitTorrent dès maintenant.

Parce que tant de gens utilisent le même mot de passe pour absolument tout, une enquête suggère que cela pourrait être jusqu'à 75 pour cent –les pirates du monde entier ont désormais accès aux versions cryptées des mots de passe utilisés par les commentateurs de Gawker et aux adresses e-mail pour lesquelles ces mots de passe sont susceptibles de fonctionner. Le cryptage de ces mots de passe est faible, mais la bonne nouvelle est que Gawker ne stockait que les 8 premiers caractères de ces mots de passe. Si votre mot de passe comporte donc 10 caractères ou plus, vous serez peut-être en sécurité même si vous ne l'avez pas modifié sur tous les autres sites sur lesquels vous l'utilisez.

De nombreuses personnes vont changer leurs mots de passe en réponse à cette faille de sécurité. Mais pour une raison ou une autre, beaucoup ne le feront pas, ce qui les rend vulnérables dans un avenir prévisible.



Plus important encore, cette attaque souligne un fait simple que nous devons tous garder à l'esprit lors de la création de mots de passe en ligne. Lorsque vous utilisez le même mot de passe pour plusieurs sites différents, vous rendez ce mot de passe aussi sûr que le site le plus faible sur lequel vous l'utilisez. C'est-à-dire que le moyen le plus simple de pirater le compte de messagerie Google de quelqu'un est de trouver son mot de passe sur un site moins sécurisé : cet élément humain est la vulnérabilité numéro un dans Gmail.

Voici comment vaincre ce fait fondamental de la sécurité Internet, à savoir que tôt ou tard votre mot de passe deviendra public, d'une manière ou d'une autre :

Garantissez votre sécurité en mémorisant quatre mots de passe et en les utilisant par paliers



1. Nous avons tous un mot de passe jetable que nous utilisons sur des sites dont nous ne nous soucions pas. Bon! Continuez à utiliser ce mot de passe sur des sites qui ne vous intéressent pas (comme Gawker.com). Si jamais il est violé, le pire des cas est que les pirates informatiques ont désormais le seul mot de passe dont vous vous moquez complètement. Dans le pire des cas : ils piratent votre compte Last.fm (etc.) et commencent à publier des likes embarrassants.

2. Pour les sites sur lesquels vous ne souhaitez pas être usurpé (Twitter, Facebook, etc.) utilisez un deuxième mot de passe, différent du premier. Assurez-vous que ce n'est pas un mot dans le dictionnaire, faites-le aussi longtemps que vous êtes à l'aise de le faire et assurez-vous qu'il contient des caractères spéciaux au milieu, et pas seulement à la fin.

3. Pour votre compte de messagerie principal, utilisez un mot de passe totalement unique et assurez-vous qu'il est long, qu'il contienne des caractères spéciaux, etc. Votre compte de messagerie peut contenir des informations sur d'autres comptes que vous possédez, même des mots de passe. Cela en fait une sorte de clé principale qui vous devez garder jalousement un mot de passe utilisé sur aucun autre site.



4. Pour vos comptes vraiment très importants - nous parlons ici de comptes bancaires - utilisez un quatrième mot de passe que vous n'utilisez sur aucun autre type de site. Vous ne voulez jamais qu'un pirate informatique pirate cette application Web aléatoire que vous avez utilisée, ou qu'un fouineur utilise Mouton De Feu , pour espionner votre login Facebook, pour accéder à vos comptes bancaires. (Certes, la plupart de ces comptes ont également des codes PIN pour empêcher une telle attaque.)

En tout cas, c'est tout. Quatre mots de passe : l'un est une poubelle, et vous pourriez aussi bien le griffonner en texte clair sur votre front. On s'habitue à des sites comme Facebook qui ont probablement une sécurité assez décente. Et deux mots de passe très spéciaux ne bloquent que vos comptes bancaires et votre e-mail. Comparez cette approche avec la conseils de Lifehacker lié à partir de la publication Gawker.com annonçant que le site avait été piraté et que tous les utilisateurs devraient mettre à jour leurs mots de passe (comme dans tous) :

Vous n'avez pas besoin de vous souvenir de 100 mots de passe si vous avez défini 1 règle pour les générer. Une façon de générer des mots de passe uniques consiste à choisir un mot de passe de base, puis à appliquer une règle qui écrase une forme quelconque du nom de service avec celui-ci.

Pour ma part, je préfère ne pas avoir à faire de gymnastique mentale pour essayer de comprendre quel mot de passe j'ai utilisé pour un site. Au lieu de cela, je suis tranquille en sachant que mon mot de passe poubelle est vulnérable et que le reste est relativement sûr.

Suivez Mim sur Twitter ou contactez-le par e-mail .

cacher