Comment savoir si un site stocke les mots de passe sous forme de texte en clair (et que faire)
Publicité
Chaque fois que vous vous enregistrez sur un site, vous leur confiez vos informations personnelles. Ils ont au moins accès à votre adresse électronique, et probablement beaucoup plus, y compris, bien sûr, votre mot de passe.
Mais comment savoir si le site prend bien soin de vos informations personnelles? Pourquoi est-ce un problème lorsque les sites stockent les détails de compte en texte brut? Et que pouvez-vous faire à ce sujet?
Qu'est-ce que Plaintext? Pourquoi est-ce un problème?
Le texte en clair est exactement ce que cela ressemble: votre mot de passe est stocké exactement comme vous l'écrivez.
Disons qu'un site que vous utilisez a été piraté. Le pirate informatique a accès à une liste de comptes avec des mots de passe notés. Supposons que votre mot de passe est "Pa $$ w0rd" (et nous espérons vraiment qu'il ne le sera pas). Le cybercriminel peut parcourir la liste, trouver votre adresse électronique et savoir que votre identifiant de connexion «sécurisé» est «Pa $$ w0rd».
Le gros problème, c'est que votre mot de passe est obscur et indiscutable. Parce que toute personne ayant accès à votre compte peut le lire, aussi facilement que vous lisez ceci.
C'est encore plus inquiétant si vous utilisez le même mot de passe sur de nombreuses plateformes. MakeUseOf déconseille de le faire pour cette raison, comme le font tous les experts en sécurité. Néanmoins, nous comprenons la tentation de nous en tenir à un mot de passe facile à retenir.
Mais si vous le faites, vous risquez que les pirates utilisent des sources de texte en clair pour accéder à vos comptes bancaires en ligne, votre Facebook et tout ce que vous dupliquez le mot de passe.
Environ 30% des sites de commerce électronique stockent leurs mots de passe en texte clair. Ce n'est pas quelque chose que nous pouvons facilement oublier.
Cela ne se limite pas non plus aux petits sites indépendants. Certaines grandes entreprises ont été pris au piège, notamment la LNH, Match.com, LinkedIn, le National Trust et Vodafone. Heureusement, ils ont depuis implémenté des méthodes de stockage plus sécurisées.
Comment les mots de passe peuvent-ils être stockés en toute sécurité?
Quelle est l'alternative au texte en clair? En fait, il existe quelques options pour stocker les mots de passe, mais toutes ne sont pas aussi sécurisées qu'elles le paraissent initialement.
De nombreux sites utilisent une fonction de hachage, qui transforme votre mot de passe en un autre ensemble de chiffres. Si un pirate informatique entre, il ne peut voir que ces caractères aléatoires. C'est un algorithme imparfait, cependant, car chaque fois que vous entrez votre mot de passe, il génère le même hash. Le système s'assure ensuite de la corrélation entre ces chiffres pour vous permettre d'accéder à votre compte.
Et oui, ils peuvent être fissurés, en particulier par des attaques par force brute.
Toutefois, si vous exploitez un site de commerce électronique, vous devriez plutôt utiliser des hachages salés. Celles-ci suivent le même principe, mais des chiffres supplémentaires réservent votre mot de passe avant qu’il n’entre dans l’algorithme de hachage.
Les hachages lents sont encore meilleurs - ils limitent le nombre de fois qu'un pirate informatique peut attaquer l'ensemble de données par seconde. Si un cybercriminel sait qu'il faudra plus de temps pour déchiffrer un mot de passe, il est moins susceptible de cibler son compte.
Comment savoir si un site stocke les mots de passe en tant que texte en clair
Il est difficile de dire si vous ne travaillez pas pour l'entreprise en question. Et si vous le faites, vous devez avertir votre équipe technique que le stockage de données privées en texte clair est contraire à l'éthique.
Pourtant, il y a un bon indicateur que vous pouvez utiliser. Si vous créez un compte et que le site vous envoie un courrier électronique qui répertorie votre mot de passe, il est probablement stocké en texte brut.
Ils ne sont certainement pas sûrs si vous cliquez sur «Mot de passe oublié» et qu'ils vous l'envoient par courrier électronique. Si cela avait été crypté, ils ne pourraient pas le faire. Au lieu de cela, vous devrez vérifier qu'il s'agit bien de votre compte, puis réinitialiser complètement votre mot de passe.
Les emails ne sont de toute façon pas sécurisés. Ils sont susceptibles de piratage. Même si le site ne stocke pas vos informations en texte clair, l'envoi d'un message détaillé n'est pas sécurisé.
Si vous souhaitez adopter une approche approfondie de vos actifs en ligne, utilisez un mot de passe réservé lors de votre inscription dans une boutique en ligne. Cliquez ensuite sur «Mot de passe perdu» (ou une variante de celui-ci) et vérifiez votre courrier électronique. Si la seule option est de le réinitialiser, faites-le.
Dans le cas contraire, si vous voyez clairement votre mot de passe de substitution dans votre boîte de réception, il s'agit d'un signe inquiétant.
Vous pouvez également consulter Plaintext Offenders, un site dédié aux entreprises qui ne prennent pas votre sécurité suffisamment au sérieux.
Que peux-tu y faire?
Si vous pensez qu'un site stocke votre mot de passe en texte brut, envoyez-le par courrier électronique. Demandez-leur de répondre à vos préoccupations.
Vous devriez avoir des nouvelles d'eux, auquel cas ils vous assureront probablement qu'ils utilisent un cryptage pour sécuriser vos informations. Mais ne laissez pas cela vous dissuader. Ne croyez pas le mythe selon lequel le cryptage est infaillible. Ne croyez pas ces 5 mythes concernant le cryptage! Ne croyez pas ces 5 mythes sur le cryptage! Le chiffrement semble complexe, mais est beaucoup plus simple que la plupart des gens ne le pensent. Néanmoins, vous pourriez vous sentir un peu trop dans le noir pour utiliser le cryptage, alors détruisons quelques mythes sur le cryptage! Lire la suite .
Sinon, nous devons parler de limitation des dommages. N'utilisez pas les mêmes informations d'identification pour tout. Nous savons que c'est tentant et vous vous rendez probablement compte qu'il n'y a pas de réel problème. Mais tu as tort. Nous sommes sûrs qu'une entreprise que vous avez utilisée dans le passé a déjà été piratée. Cela pourrait être MySpace Votre compte oublié MySpace perd tous vos secrets Votre compte oublié MySpace perd tous vos secrets Vous souvenez-vous de MySpace? Le réseau social avec lequel vous vous êtes inscrit des années avant Facebook ... oh, vous avez oublié? Eh bien, MySpace ne vous a pas oublié. Et cela aurait pu laisser filtrer toutes vos informations privées. Lire plus, Tumblr, Dropbox… ou une foule de sites.
Vérifiez en tapant votre adresse e-mail dans Avez-vous été invité?
Les gestionnaires de mots de passe sécurisent-ils le texte en clair?
Les gestionnaires de mots de passe sont un moyen astucieux de protéger vos informations d'identification sans avoir à vous souvenir de tous. Vous utilisez un mot de passe sécurisé pour accéder au gestionnaire qui connaît le reste pour vous.
Mais ils n’aident pas les sites à combattre en texte clair. Le gestionnaire est un système de stockage pour votre sécurité, pas celui du site. Vos données personnelles seront toujours lisibles si quelqu'un accède à votre compte.
Néanmoins, vous êtes clairement intéressé par le fait de garder vos informations personnelles pour vous. Il est donc tout à fait avantageux d’utiliser des gestionnaires de mots de passe. fonctionnalités intéressantes, mais saviez-vous à ce sujet? Voici sept aspects d’un gestionnaire de mots de passe dont vous devriez tirer parti. Lire la suite .
Les mots de passe en clair ne sont pas sécurisés!
En clair, cela signifie simplement que votre mot de passe est stocké exactement comme vous l'écrivez. Et c'est un problème parce que les pirates peuvent facilement le lire. Assurez-vous de lire sur le dumping des titres de compétences et comment vous protéger. Qu'est-ce que le dumping des titres de compétences? Protégez-vous avec ces 4 conseils Qu'est-ce que le vidage de droits? Protégez-vous avec ces 4 astuces Les pirates disposent d'une nouvelle arme: le dumping des informations d'identification. Qu'Est-ce que c'est? Comment pouvez-vous éviter que vos comptes soient compromis? Lire la suite .
Une fois inscrit sur un site, les courriels de bienvenue que vous avez reçus ne devraient pas inclure votre mot de passe. s'ils le font, cela indique un compte utilisant du texte en clair. Si vous cliquez sur «Mot de passe oublié» et que le mot de passe vous est envoyé par e-mail, c'est un signe certain que vos informations personnelles sont conservées de manière non sécurisée.
Vous craignez qu'un site ne le fasse pas en toute sécurité? Envoyez-leur des courriels sur vos soucis Ils peuvent vous assurer qu’ils utilisent le cryptage, mais rien n’est incassable. Sinon, découvrez comment les sites Web dignes de confiance doivent stocker les mots de passe. Comment les sites Web assurent-ils la sécurité de vos mots de passe? Comment les sites Web protègent-ils vos mots de passe? Avec les violations régulières de la sécurité en ligne signalées, vous êtes sans aucun doute préoccupé par le comportement des sites Web après votre mot de passe. En fait, pour la tranquillité d’esprit, c’est quelque chose que tout le monde a besoin de savoir… Lisez Plus et dites-leur.
Explorez plus sur: la sécurité en ligne, mot de passe.