Les défis de la conservation des mots de passe correctement et en toute sécurité

store passwords correctly safely

Le processus de récupération de l’accès à un compte en ligne peut s’avérer très compliqué. Parfois, vous devez contacter un agent de support qui vous posera toutes sortes de questions avant de vous fournir un lien avec lequel vous pourrez créer et attribuer un nouveau mot de passe pour votre compte.

Cependant, avec certains services (pas trop nombreux), la récupération d'un mot de passe est simple et agréable. Vous cliquez sur un bouton de mot de passe oublié et un ordinateur ou une personne vous envoie un courrier électronique avec le mot de passe oublié. Vous êtes peut-être satisfait de la commodité d'un système qui fonctionne de la sorte. Et c'est pratique. Cependant, ce que vous ne réalisez peut-être pas, c’est que ledit système traite votre mot de passe de manière extrêmement non sécurisée.

Tout d’abord, le courrier électronique n’est pas la forme de communication la plus sécurisée. Il existe des exceptions, mais la plupart des fournisseurs de messagerie grand public ne chiffrent pas les informations contenues dans les messages, ce qui signifie qu'elles peuvent être volées en transit. Ce n'est pas le seul problème.

Le fait que le mot de passe vous soit envoyé en texte brut signifie qu'il est probablement stocké en texte brut également. Et cela signifie que si les pirates informatiques mettent la main dessus, rien ne les empêchera de prendre en charge votre compte. Votre mot de passe peut également être stocké sous forme cryptée, mais ce n'est pas une bonne pratique non plus. S'il est chiffré, il peut être déchiffré avec des clés susceptibles d'être exposées . Et vous ne savez jamais quand un employé mécontent décidera que vous êtes la raison de son mécontentement.

Les fournisseurs de services ne doivent donc pas stocker vos mots de passe en texte brut, ni les chiffrer. Quelle est donc la bonne façon de les protéger?

Comment les prestataires de services responsables stockent-ils vos mots de passe?

L’opération mathématique que les propriétaires de sites Web devraient utiliser est appelée hachage. Une fonction de hachage convertit votre mot de passe en une chaîne de caractères illisible (appelée valeur de hachage ou, simplement, un hachage) qui n'a aucune ressemblance visuelle avec le mot de passe actuel. Par exemple, si vous utilisez l'algorithme de hachage SHA1 (ancien algorithme peu sûr, mais utilisé à des fins d'illustration), la valeur de hachage de "mot de passe" est "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8". Le hachage est ensuite stocké dans une base de données et est comparé à un hachage du mot de passe que vous entrez lorsque vous vous connectez.

Le cryptage transforme également votre mot de passe en une chaîne de caractères illisible, mais, à condition que les clés de décryptage soient présentes, le mot de passe crypté peut facilement être reconverti en texte brut. Le hachage est supposé être une action à sens unique, ce qui signifie que si l'algorithme de hachage est assez bon, même les outils automatisés fonctionnant sur du matériel puissant auront besoin de beaucoup de temps pour déchiffrer le hachage et récupérer le mot de passe. En conséquence, ni les employés mécontents ni les pirates informatiques ne pourront voir votre mot de passe .

Le problème est que le même mot de passe produit le même hachage avec le même algorithme et que, comme de nombreuses personnes utilisent "123456" pour protéger leurs comptes , un mot de passe peut être deviné en fonction du hachage. C'est pourquoi les fournisseurs de services devraient également saler votre mot de passe. Le salage signifie effectivement qu'ils ajoutent une chaîne de caractères (par exemple, "QxLUF1bgIAdeQX") à la fin de votre mot de passe avant le hachage.. Chaque utilisateur doit avoir son propre sel, ce qui signifie que même si votre mot de passe est identique à celui de votre voisin, par exemple, les hachages seront complètement différents. Cela ne signifie pas que l'utilisation de mots de passe courants ou simples est acceptable, mais le hachage et le salage corrects rendent le travail des pirates plus difficile.

Bien sûr, cela va bien au-delà, mais ce que vous venez de lire vous a permis, espérons-le, de vous donner une compréhension de base des étapes que les propriétaires de sites Web et les fournisseurs de services devraient suivre pour configurer leurs systèmes d'authentification. Malheureusement, le fait que les comptes en ligne soient compromis jour après jour signifie que tous ne respectent pas ces principes de sécurité élémentaires. Et malheureusement, vous ne pouvez rien y faire.

Une fois que vous donnez votre mot de passe à un site Web, vous faites confiance aux personnes qui le composent pour protéger vos données. Vous n'avez aucun contrôle sur ce qui se passe ensuite. Ce que vous pouvez contrôler, cependant, est la façon dont vous stockez vos propres mots de passe.

Comment devriez-vous stocker vos mots de passe?

Évidemment, les enregistrer dans un document Microsoft Office n'est pas une option. C'est trop risqué, et il en va de même pour écrire vos mots de passe sur des morceaux de papier jaunes et les coller sur votre moniteur. Le hachage est également hors de question. Même si vous avez les outils et les connaissances pour le faire, vous devez pouvoir utiliser vos mots de passe.

Le cryptage est donc votre meilleur pari. Les données ne sont pas disponibles en clair, et pourtant, vous pouvez les utiliser à tout moment.

Cyclonis Password Manager vous offre un moyen pratique de le faire. Premièrement, il chiffre vos données avec AES-256, un algorithme de chiffrement utilisé par les organisations financières et militaires du monde entier. Le décryptage n'est possible qu'avec votre mot de passe principal. Etant donné que vous seul devriez être en mesure de voir vos données, Cyclonis Password Manager n'enregistre ni ne transmet votre mot de passe principal de quelque manière que ce soit.

C'est un scénario à avoir et à manger. Vos mots de passe sont à l'abri des regards indiscrets et, quand vous en avez besoin, vous pouvez les utiliser. De plus, Cyclonis Password Manager est entièrement gratuit.

October 4, 2019

Laisser une Réponse