Mots de passe ? Non, phrases de passe. Votre guide ultime pour prévenir les attaques : 2re partie

La cybersécurité en ligne est rapidement devenue une priorité absolue dans notre vie quotidienne. L'un des moyens les plus efficaces que n'importe qui peut mettre en œuvre consiste à utiliser votre propre esprit. Et ce que je veux dire par là, c'est vous renseigner sur ce que les attaquants rechercheront lorsqu'ils essaieront de déchiffrer vos mots de passe. Connaître les dernières méthodes vous permettra de garder une longueur d'avance. Dans la partie 1, j'ai expliqué comment la création de mots de passe joue un rôle dans la prévention des failles de sécurité et je vous ai fourni des informations supplémentaires, le tout du point de vue d'un attaquant. Maintenant que vous êtes équipé de ces connaissances, parlons de ce que vous pouvez réellement faire.

Tout d'abord, générez une chaîne de caractères aléatoire. Les pirates de mot de passe ne fonctionnent généralement pas avec une chaîne de caractères complètement aléatoire. Par exemple, il est peu probable que le mot de passe "9V3amEyd3Gk*" soit déchiffré à l'aide de méthodes standard.

Cependant, personne ne se souviendra de ce mot de passe. Et comme nous ne devrions jamais réutiliser un mot de passe, nous ne nous souviendrons certainement pas de 50 types de mots de passe différents comme celui-là. C'est pourquoi les gestionnaires de mots de passe sont recommandés. Cela vous permet de générer des mots de passe aléatoires qui prendraient potentiellement des millions d'années à se fissurer, et vous n'avez pas besoin de vous en souvenir. Cependant, par expérience, beaucoup de nos générations plus âgées ne sont pas aussi à l'aise avec les gestionnaires de mots de passe. Que ce soit parce qu'ils se méfient des mots de passe stockés dans le cloud, auxquels ils ne font pas confiance, ou qu'ils ne sont pas aussi à l'aise avec les ordinateurs en général, et aussi simple que cela puisse paraître pour certaines personnes, cela peut sembler intimidant pour les autres. Cela peut souvent se traduire par des mots de passe écrits dans des livres ou sur des notes autocollantes ou même dans des documents sur l'ordinateur lui-même ! Cela devrait aller de soi, mais ce n'est pas recommandé.

Si vous vous trouvez dans cette situation, vous vous demandez peut-être comment vous pouvez créer un mot de passe fort dont vous vous souviendrez. Si nous revenons sur l'entropie, nous avons constaté que l'augmentation du nombre de combinaisons se traduit par un mot de passe plus difficile à déchiffrer. Si nous ne pouvons pas utiliser la randomisation, quelle est notre prochaine option ? Créer des mots de passe plus longs. L'ajout de caractères spéciaux ou de chiffres peut entraîner 15 à 20 options supplémentaires pour chaque caractère. Mais chaque caractère de longueur ajoute au moins 26 options, et si vous utilisez également la capitalisation, cela double. C'est là que nous passons de la pensée d'un "mot de passe" à une "phrase de passe", quelque chose que j'aimerais que nous commencions à utiliser pour changer l'état d'esprit des mots de passe courts d'un mot vers des phrases de passe plus longues et plus dynamiques.

Avec mots de passe, vous pouvez augmenter considérablement l'entropie d'un mot de passe. Disons que vous êtes un fan de Star Wars et que vous savez que pour créer un bon mot de passe, il doit contenir toutes les choses dont nous avons parlé. Donc vous faites votre mot de passe "S74rW@r5F4N77". En utilisant des vérificateurs de mots de passe sur Internet, j'obtiens une gamme d'estimations allant de 22 ans à 2 millions d'années pour déchiffrer ce mot de passe, ça sonne bien, non ? Il y a quelques mises en garde à cela. Premièrement, ces calculatrices ne tiennent pas compte du fait qu'elles utilisent des mots réels, et elles ne tiennent pas compte de la recherche sur la cible. Si je capturais le hachage de quelqu'un et que je vérifiais ses réseaux sociaux pour découvrir qu'il est un grand fan de Star Wars, je créerais une liste de mots comprenant différents termes de Star Wars. Grâce à des ensembles de règles standard, je finirais par déchiffrer ce mot de passe beaucoup plus rapidement si je fais des recherches appropriées sur ma cible. Même si je ne le faisais pas, ma liste de mots standard contient "starwarsfan" dans sa liste, ce qui signifie qu'en fin de compte, je finirais par déchiffrer ce mot de passe, et cela ne prendrait probablement qu'un jour ou deux.

Alors, que doit faire notre fan de Star Wars ? Utilisez une phrase secrète. Utilisez une citation, une devise, quelque chose de relativement unique et obscur dont ils se souviendront car cela a un sens pour eux. Par exemple, utiliser "Iamyourfather" est une expression trop courante et serait également finalement découverte. Utiliser une citation de votre personnage préféré, puis y ajouter nos ajustements habituels peut aboutir à quelque chose de pratiquement incassable. Par exemple, votre personnage préféré est peut-être Han Solo. À un moment donné, il dit la phrase « Gardons un peu d'optimisme ici. En utilisant « Letskeepalittleoptimismhere » comme base, ces mêmes testeurs de force de mot de passe d'avant vont de 228 ans à fonctionnellement la fin de l'univers. Parce que nous avons ajouté de la longueur et que nous avons utilisé une expression qui n'est pas couramment utilisée ou reconnue, ce mot de passe peut être aussi bon qu'un mot de passe qui n'est qu'une chaîne aléatoire. Si nous voulions encore augmenter sa capacité à ne pas être piraté, nous pourrions inclure les caractères spéciaux, les chiffres et les majuscules habituels, mais contrairement à d'autres mots de passe où presque toutes les lettres doivent être modifiées, vous pouvez faire quelque chose d'aussi simple que d'ajouter normal des caractères spéciaux qui correspondraient à la phrase, et peut-être transformer keep en k33p pour augmenter considérablement le temps qu'il faudrait pour déchiffrer ce mot de passe.

Maintenant que nous avons une phrase secrète dont nous savons qu'elle est forte, nous ne pouvons pas l'utiliser pour chaque mot de passe. C'est là que je m'écarte des recommandations standard. Il est recommandé de ne jamais utiliser de modèles, car cela peut être fonctionnellement identique à l'utilisation du même mot de passe si le modèle est déterminé. Cependant, l'utilisation de plusieurs façons différentes pour rendre vos mots de passe uniques peut entraîner un modèle que vous reconnaissez et un modèle qu'un attaquant ne peut pas voir.

Par exemple, supposons que vous utilisez notre phrase secrète pour vous inscrire à un compte sur Amazon. Vous pouvez ensuite utiliser un modèle avec le nom du site Web lui-même pour fabriquer un mot de passe. Par exemple, vous pouvez prendre des voyelles ou des consonnes et les mettre dans le mot de passe, comme "Passwordmzn". Ce n'est pas mauvais, et à moins qu'un attaquant ne regarde vraiment le mot de passe et d'où il vient, il peut ne pas être découvert, mais certains sites Web ou applications seront très évidents que c'est ce qui est fait. Une autre peut être que vous utilisez le contexte du nom du site Web pour avoir un indice sur le reste des chiffres. Disons que vous avez 4 frères et sœurs, Jack, Fred, Sarah et Mary. Vous pouvez regarder Amazon et voir que la première lettre qui correspond à la première lettre de l'un de vos frères et sœurs est M. De là, vous pouvez ensuite joindre son année de naissance, ou sa date complète, ou quelque chose en rapport avec elle que vous connaissez et dont vous vous souvenez. Par exemple, cela finirait par être "PassphrazeMZN1983". Cela se traduit par un mot de passe unique, utilisant une longue phrase de passe qui est significative pour vous et utilise un indice contextuel qui ne signifie que quelque chose pour vous.

Il est recommandé de penser à votre propre indice contextuel, et vous pouvez même en avoir plusieurs que vous appliquez à chaque mot de passe, en augmentant encore la longueur et en ajoutant le nombre de caractères apparemment aléatoires à la fin du mot de passe, de sorte qu'il devrait jamais être divulgué. texte en clair, un acteur malveillant ne pourra pas nécessairement l'utiliser sur d'autres pages.
Une dernière option dont certaines personnes pourraient profiter consiste à créer leur mot de passe dans une langue différente. Ici au Canada, presque tous les mots de passe seront en anglais ou en français. Si vous utilisez un mot de passe dans une langue inattendue, cela augmentera également considérablement le temps de craquage potentiel. D'autant plus si vous utilisez une langue non utilisée comme le latin, ou une langue avec des caractères différents comme le coréen.

En utilisant ces recommandations, vous pouvez développer les idées ci-dessus pour faire de vos mots de passe quelque chose dont vous vous souviendrez toujours et presque impossible à déchiffrer. Peut-être avez-vous une liste d'expressions, une que vous utilisez pour les sites de commerce, une que vous utilisez pour les applications de loisir, une que vous utilisez pour les opérations bancaires et une que vous utilisez pour le courrier électronique. Cela vous permet de séparer encore plus vos différents comptes, de sorte que dans le cas peu probable où toutes nos étapes précédentes aboutissent à la fois à la découverte du mot de passe et à la détection du modèle, il en résulte que seule cette «catégorie» d'applications doit être modifié. Enfin, il est toujours recommandé d'utiliser l'authentification multifacteur, ou MFA. C'est là que vous recevez une notification sur un autre appareil (généralement un téléphone portable) vous demandant si la personne qui se connecte est vous. Cela vous permet de contrôler les connexions et si le mot de passe est compromis, vous pouvez toujours bloquer la connexion.

Pour résumer, utilisez un gestionnaire de mots de passe si vous vous sentez à l'aise de le faire. Si ce n'est pas le cas, utilisez des phrases secrètes au lieu de mots de passe. Choisissez une phrase de passe qui a du sens pour vous, mais qui n'appartient pas à la culture populaire, puis embellissez-la avec votre propre créativité. Comme je l'ai dit depuis le début, j'essaie de penser comme un attaquant. Cela gâcherait définitivement ma journée en tant qu'attaquant essayant de casser des mots de passe.