La connaissance est le pouvoir. Comprendre comment les comptes sont réellement compromis peut vous aider à sécuriser vos comptes et à éviter le piratage de vos mots de passe.
Réutilisation des mots de passe, en particulier des fuites
De nombreuses personnes, voire la plupart des personnes, réutilisent les mots de passe pour différents comptes. Certaines personnes peuvent même utiliser le même mot de passe pour chaque compte utilisé. Ceci est extrêmement précaire. De nombreux sites Web, même les plus grands et bien connus comme LinkedIn et eHarmony, ont vu leurs bases de données de mots de passe divulguées ces dernières années. Les bases de données contenant les mots de passe divulgués, les noms d'utilisateur et les adresses électroniques sont facilement accessibles en ligne. Les attaquants peuvent essayer ces combinaisons d'adresse électronique, de nom d'utilisateur et de mot de passe sur d'autres sites Web et accéder à de nombreux comptes.
La réutilisation d'un mot de passe pour votre compte de messagerie vous met encore plus à risque, car votre compte de messagerie pourrait être utilisé pour réinitialiser tous vos autres mots de passe si un attaquant y avait accès.
Aussi bon que vous soyez pour sécuriser vos mots de passe, vous ne pouvez pas contrôler la manière dont les services que vous utilisez sécurisent vos mots de passe. Si vous réutilisez des mots de passe et qu'une société glisse, tous vos comptes seront en danger. Vous devez utiliser différents mots de passe partout: un gestionnaire de mots de passe peut vous aider.
Enregistreurs de frappe
Les enregistreurs de frappe sont des logiciels malveillants qui peuvent s'exécuter en arrière-plan et consignent chaque frappe que vous effectuez. Ils sont souvent utilisés pour capturer des données sensibles telles que les numéros de carte de crédit, les mots de passe des services bancaires en ligne et d’autres identifiants de compte. Ils envoient ensuite ces données à un attaquant via Internet.
Ces malwares peuvent arriver par des exploits - par exemple, si vous utilisez une version obsolète de Java, comme le sont la plupart des ordinateurs sur Internet, vous pouvez être compromis via une applet Java sur une page Web. Cependant, ils peuvent aussi arriver déguisés dans d'autres logiciels. Par exemple, vous pouvez télécharger un outil tiers pour un jeu en ligne. L’outil peut être malveillant en capturant votre mot de passe de jeu et en l’envoyant à l’attaquant via Internet.
Utilisez un programme antivirus correct, maintenez votre logiciel à jour et évitez de télécharger des logiciels douteux.
Ingénierie sociale
Les pirates utilisent également couramment des astuces d'ingénierie sociale pour accéder à vos comptes. Le phishing est une forme d'ingénierie sociale connue de tous. Essentiellement, l'attaquant se fait passer pour quelqu'un et vous demande votre mot de passe. Certains utilisateurs donnent facilement leurs mots de passe. Voici quelques exemples d'ingénierie sociale:
- Vous recevez un courrier électronique qui prétend provenir de votre banque et vous diriger vers un site Web de banque factice et vous demandant de saisir votre mot de passe.
- Vous recevez un message sur Facebook ou sur tout autre site Web social d'un utilisateur qui prétend être un compte Facebook officiel, vous demandant d'envoyer votre mot de passe pour vous authentifier.
- Vous visitez un site Web qui promet de vous offrir quelque chose de précieux, tel que des jeux gratuits sur Steam ou de l'or gratuit dans World of Warcraft. Pour obtenir cette fausse récompense, le site Web requiert votre nom d'utilisateur et votre mot de passe pour le service.
Faites attention à qui vous donnez votre mot de passe - ne cliquez pas sur les liens dans les courriels ni sur le site Web de votre banque, ne divulguez pas votre mot de passe à qui vous contacte et le demande, et ne donnez pas les informations d'identification de votre compte à des personnes non fiables les sites Web, en particulier ceux qui semblent trop beaux pour être vrais.
Répondre aux questions de sécurité
Les mots de passe peuvent souvent être réinitialisés en répondant aux questions de sécurité. Les questions de sécurité sont généralement incroyablement faibles - souvent, par exemple, «Où êtes-vous né?», «À quel lycée êtes-vous allé?» Et «Quel était le nom de jeune fille de votre mère?». Il est souvent très facile de trouver cette information sur des sites de réseaux sociaux accessibles au public, et la plupart des gens normaux vous diraient à quelle école secondaire ils se rendaient si on leur demandait. Avec ces informations faciles à obtenir, les attaquants peuvent souvent réinitialiser les mots de passe et accéder aux comptes.
Idéalement, vous devriez utiliser des questions de sécurité avec des réponses qui ne sont pas faciles à découvrir ou à deviner. Les sites Web devraient également empêcher les personnes d’accéder à un compte simplement parce qu’elles connaissent les réponses à quelques questions de sécurité, et certaines d’entre elles le savent - mais d’autres non.
Réinitialisation du compte de messagerie et du mot de passe
Si un attaquant utilise l’une des méthodes ci-dessus pour accéder à vos comptes de messagerie, vous avez de plus en plus de problèmes. Votre compte de messagerie fonctionne généralement comme votre compte principal en ligne. Tous les autres comptes que vous utilisez sont liés à celui-ci, et toute personne ayant accès au compte de messagerie peut l'utiliser pour réinitialiser vos mots de passe sur un nombre quelconque de sites enregistrés avec l'adresse de messagerie.
Pour cette raison, vous devez sécuriser votre compte de messagerie autant que possible. Il est particulièrement important d’utiliser un mot de passe unique et de le garder soigneusement.
Quel mot de passe “piratage” n'est pas
La plupart des gens imaginent probablement des attaquants qui essaient tous les mots de passe possibles pour se connecter à leur compte en ligne. Cela ne se produit pas.Si vous tentiez de vous connecter au compte en ligne de quelqu'un et que vous continuiez à deviner les mots de passe, vous seriez ralenti et empêché d'essayer plus d'une poignée de mots de passe.
Si un attaquant était capable de se connecter à un compte en ligne simplement en devinant les mots de passe, il est probable que le mot de passe était quelque chose d’évident qui pouvait être deviné lors des premiers essais, tel que «mot de passe» ou le nom de l’animal de la personne.
Les attaquants ne peuvent utiliser ces méthodes de force brute que s’ils disposent d’un accès local à vos données. Par exemple, supposons que vous stockiez un fichier crypté dans votre compte Dropbox. Les attaquants y ont accédé et ont téléchargé le fichier crypté. Ils pourraient ensuite essayer de forcer brutalement le cryptage, en essayant essentiellement chaque combinaison de mot de passe jusqu'à ce que l'un d'entre eux fonctionne.
Les personnes qui disent que leurs comptes ont été «piratés» sont probablement coupables de réutilisation de mots de passe, d’installation d’un enregistreur de frappe ou de donner leurs informations d’identité à un attaquant après des astuces d’ingénierie sociale. Ils peuvent également avoir été compromis à la suite de questions de sécurité faciles à deviner.
Si vous prenez les précautions de sécurité appropriées, il ne sera pas facile de "pirater" vos comptes. L’utilisation d’une authentification à deux facteurs peut également aider: un attaquant aura besoin de plus que votre mot de passe pour entrer.
