FRFAM.COM >> Famille >> Technologie &Innovation >> Informatique

Comment savoir si un site stocke les mots de passe en clair (et que faire)

Chaque fois que vous vous inscrivez sur un site, vous leur confiez vos données personnelles. Ils ont au moins accès à votre adresse e-mail, et probablement bien plus, y compris, bien sûr, votre mot de passe.

Mais comment savoir si le site prend correctement soin de vos informations privées ? Pourquoi est-ce un problème lorsque les sites stockent les détails du compte en clair ? Et que pouvez-vous y faire ?

Qu'est-ce que le texte brut ? Pourquoi est-ce un problème ?

Le texte en clair est précisément ce à quoi cela ressemble :votre mot de passe est stocké exactement tel que vous l'écrivez.

Disons qu'un site que vous utilisez a été piraté. Le pirate a accès à une liste de comptes avec des mots de passe notés. Supposons que votre mot de passe soit "Pa$$w0rd" (et nous espérons vraiment que ce n'est pas le cas). Le cybercriminel peut parcourir la liste, trouver votre adresse e-mail et lire facilement que votre connexion "sécurisée" est "Pa$$w0rd".

Le gros problème est que peu importe à quel point votre mot de passe est obscur et impossible à deviner. Parce que toute personne ayant accès à votre compte peut le lire, aussi facilement que vous le lisez.

Comment savoir si un site stocke les mots de passe en clair (et que faire)

C'est encore plus inquiétant si vous utilisez le même mot de passe sur plusieurs plates-formes. MakeUseOf déconseille de le faire pour cette raison, comme le font tous les experts en sécurité. Néanmoins, nous comprenons la tentation de s'en tenir à un mot de passe facile à retenir.

Mais si vous le faites, vous risquez que des pirates utilisent des sources de texte en clair divulguées pour accéder à vos comptes bancaires en ligne, votre Facebook et tout ce sur quoi vous dupliquez le mot de passe.

On estime que 30 % des sites de commerce électronique stockent leurs mots de passe en clair. Ce n'est pas quelque chose que nous pouvons facilement ignorer.

Il ne se limite pas non plus aux petits sites indépendants. Certaines grandes entreprises ont été prises au dépourvu, notamment la LNH, Match.com, LinkedIn, le National Trust et Vodafone. Heureusement, ils ont depuis mis en place des méthodes de stockage plus sécurisées.

Comment les mots de passe peuvent-ils être stockés en toute sécurité ?

Quelle est l'alternative au texte en clair ? En fait, il existe quelques options pour stocker les mots de passe, mais toutes ne sont pas aussi sécurisées qu'elles le paraissent au départ.

De nombreux sites utilisent une fonction de hachage, qui transforme votre mot de passe en un autre ensemble de chiffres. Si un pirate informatique entre, il ne peut voir que ces caractères aléatoires. C'est un algorithme défectueux, cependant, car chaque fois que vous entrez votre mot de passe, il génère le même hachage. Le système s'assure ensuite que ces chiffres correspondent pour vous donner accès à votre compte.

Et oui, ils peuvent être piratés, notamment par des attaques par force brute.

Si vous exploitez un site de commerce électronique, vous devriez plutôt utiliser des hachages salés. Celles-ci utilisent le même principe, mais des chiffres supplémentaires bloquent votre mot de passe avant qu'il n'entre dans l'algorithme de hachage.

Les hachages lents sont encore meilleurs --- ils limitent le nombre de fois qu'un pirate informatique peut attaquer l'ensemble de données par seconde. Si un cybercriminel sait qu'il lui faudra plus de temps pour déchiffrer un mot de passe, il est moins susceptible de cibler le compte.

Comment savoir si un site stocke des mots de passe en texte brut

C'est difficile à dire à moins de travailler pour l'entreprise en question. Et si vous le faites, vous devez alerter votre équipe technique que le stockage de données privées en clair est contraire à l'éthique.

Pourtant, il y a un bon indicateur que vous pouvez utiliser. Si vous configurez un compte et que le site vous envoie un e-mail contenant votre mot de passe, il est probablement stocké en clair.

Comment savoir si un site stocke les mots de passe en clair (et que faire)

Ils ne sont certainement pas sécurisés si vous cliquez sur "Mot de passe oublié" et qu'ils vous l'envoient par e-mail. S'il avait été crypté, ils n'auraient pas pu le faire. Au lieu de cela, vous devrez vérifier qu'il s'agit bien de votre compte, puis réinitialiser complètement votre mot de passe.

Les e-mails ne sont pas sécurisés de toute façon. Ils sont susceptibles d'être piratés. Même si le site ne stocke pas vos informations en clair, vous envoyer un message détaillé n'est pas sûr.

Si vous souhaitez adopter une approche approfondie de vos actifs en ligne, utilisez un mot de passe réservé lors de votre inscription à une boutique en ligne. Cliquez ensuite sur "Mot de passe perdu" (ou une variante de celui-ci) et vérifiez votre messagerie. Si la seule option est de le réinitialiser, faites-le.

Sinon, si vous pouvez voir clairement votre mot de passe d'espace réservé dans votre boîte de réception, c'est un signe inquiétant.

Vous pouvez également consulter Plaintext Offenders, un site dédié à la mise en évidence des entreprises qui ne prennent pas votre sécurité suffisamment au sérieux.

Que pouvez-vous y faire ?

Si vous pensez qu'un site stocke votre mot de passe en clair, envoyez-lui un e-mail. Demandez-leur de répondre à vos préoccupations.

Vous devriez avoir des nouvelles de leur part, auquel cas ils vous assureront probablement qu'ils utilisent le cryptage pour sécuriser vos informations. Mais ne vous laissez pas dissuader. Ne croyez pas le mythe selon lequel le chiffrement est infaillible.

Sinon, il faut parler de limitation des dégâts. N'utilisez pas les mêmes informations d'identification pour tout. Nous savons que c'est tentant et vous pensez probablement qu'il n'y a pas vraiment de mal à cela. Mais vous vous trompez. Nous sommes sûrs qu'une entreprise que vous avez utilisée dans le passé a déjà été piratée. Cela pourrait être MySpace, Tumblr, Dropbox… ou toute une série de sites.

Vérifiez en saisissant votre adresse e-mail dans Have I Been Pwned.

Les gestionnaires de mots de passe sécurisent-ils le texte brut ?

Comment savoir si un site stocke les mots de passe en clair (et que faire)

Les gestionnaires de mots de passe sont un moyen pratique de protéger vos informations d'identification sans avoir à les mémoriser toutes. Vous utilisez un mot de passe sécurisé pour accéder au gestionnaire qui connaît le reste pour vous.

Mais ils n'aident pas à lutter contre les sites utilisant du texte en clair. Le gestionnaire est un système de stockage pour votre sécurité, pas celle du site. Vos données privées seront toujours lisibles si quelqu'un accède à votre compte.

Néanmoins, vous êtes clairement intéressé à garder vos informations privées pour vous, il y a donc certainement des avantages à utiliser des gestionnaires de mots de passe.

Les mots de passe en clair ne sont pas sécurisés !

Le texte en clair signifie simplement que votre mot de passe est stocké exactement tel que vous l'écrivez. Et c'est un problème car les pirates peuvent facilement le lire. Assurez-vous de lire sur le vidage des informations d'identification et comment vous protéger.

Une fois inscrit sur un site, aucun e-mail de bienvenue que vous avez reçu ne doit contenir votre mot de passe ; s'ils le font, cela indique un compte utilisant du texte en clair. Si vous cliquez sur "Mot de passe oublié", et qu'ils vous envoient le mot de passe réel par e-mail, c'est un signe certain que vos informations personnelles sont conservées de manière non sécurisée.

Vous craignez qu'un site ne le fasse de manière sécurisée ? Envoyez-leur un e-mail au sujet de vos soucis. Ils pourraient vous assurer qu'ils utilisent le cryptage, mais rien n'est incassable. Si ce n'est pas le cas, découvrez comment les sites Web réputés doivent stocker les mots de passe et le leur indiquer.


[]