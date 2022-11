Si vous avez eu un mot de passe piraté récemment, vous n’êtes pas seul.

Le volume d’attaques par mot de passe a grimpé à environ 921 attaques par seconde. C’est une augmentation de 74 % en un an, selon le dernier rapport Microsoft sur la défense numérique.

Les grandes entreprises technologiques, dont Microsoft, préféreraient que le monde des mots de passe soit éradiqué, et elles ont apporté des modifications pour un avenir en ligne moins dépendant de l’étape de sécurité vulnérable.

Les utilisateurs de Microsoft peuvent déjà accéder en toute sécurité à Windows, Xbox et Microsoft 365 sans utiliser de mot de passe via des applications telles que Microsoft Authenticator et des technologies telles que les empreintes digitales ou la reconnaissance faciale. Mais de nombreuses personnes se fient encore aux mots de passe et n’utilisent même pas l’authentification à deux facteurs désormais considérée comme essentielle.

“Tant que les mots de passe font toujours partie de l’équation, ils sont vulnérables”, a écrit Joy Chik, vice-présidente de l’identité de Microsoft, dans un article de septembre 2021. article de blog d’entreprise.

Voici six façons de rester protégé.

Changez les noms d’utilisateurs identiques, les mots de passe rapidement et d’abord, sur les comptes clés

Pour plus de facilité, de nombreuses personnes utilisent le même nom d’utilisateur et le même mot de passe sur tous les comptes, mais cela les expose également à un risque important de voir leurs informations compromises. Sur la base d’un échantillon de plus de 39 millions d’appareils IoT et OT, environ 20 % ont utilisé des noms d’utilisateur et des mots de passe identiques, selon le Rapport Microsoft.

Si vous tombez dans cette catégorie, il est temps d’agir. Commencez par vous concentrer d’abord sur les plus gros risques – les sites de messagerie, financiers, de soins de santé et de médias sociaux, a déclaré Chris Pierson, fondateur et directeur général de BlackCloak, une société de cybersécurité spécialisée dans la prévention des attaques ciblées contre les employés et les dirigeants de l’entreprise.

Dire à une personne qui a de nombreux identifiants et mots de passe de sites Web identiques de les changer tous en même temps équivaut à conseiller à quelqu’un de perdre 50 livres en courant 20 miles par jour et en faisant de la dinde froide sur des bonbons, a-t-il déclaré. Une recommandation de départ plus gérable serait une marche de 15 minutes une fois par jour autour du pâté de maisons et de petits changements alimentaires. Il en va de même pour la protection par mot de passe, a déclaré Pierson. “Ne changez pas chaque mot de passe que vous avez. Concentrez-vous sur les comptes les plus risqués et les plus dommageables.”

Utilisez un gestionnaire de mots de passe pour chiffrer vos données

Pour garder une trace des mots de passe en toute sécurité et efficacement, les professionnels de la sécurité recommandent d’utiliser un gestionnaire de mots de passe sécurisé tel que 1Password ou KeePass. L’utilisateur n’a qu’à se souvenir d’un mot de passe long et fort et le gestionnaire stocke les autres dans un format crypté. Les gestionnaires de mots de passe peuvent également être utilisés pour générer des mots de passe sécurisés et aléatoires, qui sont extrêmement difficiles à déchiffrer. Même si cela nécessite de s’appuyer sur un tiers, les gestionnaires de mots de passe font généralement un bon travail pour protéger les données des clients, a déclaré Justin Cappos, professeur agrégé à la NYU Tandon School of Engineering, dont l’accent est mis sur la cybersécurité et la confidentialité des données.

Choisissez des mots de passe forts si vous n’utilisez pas la génération aléatoire

Bien que les mots de passe générés aléatoirement soient une bonne pratique, tout le monde n’aime pas les utiliser, alors assurez-vous au moins que vous utilisez des informations d’identification qui ne peuvent pas être facilement piratées. Vous pouvez, par exemple, enchaîner quatre mots aléatoires comme soleil, eau, ordinateur et chaise pour un compte, et utiliser un autre ensemble de quatre mots pour un compte différent, a déclaré Roy Zur, fondateur et directeur général de la société de formation en cybersécurité ThriveDX.

Utiliser l’expression “moneycashcheckbank”, par exemple, mettrait environ 23 millions d’années à craquer un ordinateur, selon un site Internet maintenu par Security.org, qui examine les produits de sécurité. En revanche, le mot de passe “jesus” pourrait être déchiffré instantanément, tandis que le même mot avec un “J” majuscule pourrait être déchiffré en environ 9 millisecondes, selon le site Web.

Activer l’authentification multifacteur

Certains services tels qu’Apple Pay imposent cette couche de sécurité supplémentaire pour les comptes. Même si un fournisseur n’exige pas son utilisation, l’authentification multifacteur est un outil de sécurité précieux qui est sous-utilisé, selon les professionnels de la sécurité.

L’idée derrière l’authentification multifacteur – qui nécessite deux ou plusieurs informations d’identification – est de rendre plus difficile pour les criminels d’infiltrer vos comptes. Les pirates ciblent le maillon le plus faible “et votre rôle n’est pas d’être le maillon le plus faible”, a déclaré Zur.

À ces fins, il est conseillé d’utiliser une application telle que Google Authenticator ou un jeton matériel comme une YubiKey, au lieu de SMS, dans la mesure du possible, a déclaré Cappos. C’est parce que SMS est vulnérable à l’échange de carte SIM et à d’autres piratages. “Il n’est pas difficile pour un pirate motivé de contourner les SMS”, a-t-il déclaré.

L’escroquerie de commerce électronique Google Voice montre pourquoi vous ne devriez jamais partager un mot de passe

C’est un problème qui se produit trop souvent, selon le rapport d’impact sur les entreprises 2022 du centre de ressources sur le vol d’identité. Interrogées sur la cause profonde d’une prise de contrôle de compte, 45 % des entreprises ont déclaré que quelqu’un avait cliqué sur un lien de phishing ou partagé des informations d’identification de compte avec quelqu’un qui prétendait être un ami ; 29 % ont déclaré que quelqu’un avait partagé les informations d’identification de son compte avec un pirate prétendant être un client, un fournisseur ou un prospect potentiel.

“Les mots de passe sont comme la gomme. Les gens ne devraient pas partager”, a déclaré Cappos.

De même, ne donnez jamais de code à usage unique, même lorsque les escrocs donnent l’impression que la raison du partage est légitime, a déclaré Eva Velasquez, présidente et directrice générale du Identity Theft Resource Center.

Une arnaque de plus en plus courante est celle où les fraudeurs se font passer pour des acheteurs intéressés sur les places de marché en ligne. Ils ordonnent à un vendeur de lire un code unique prétendument envoyé par l’acheteur, souvent dans le but déclaré de “vérifier l’identité et la légitimité du vendeur” qui attire les victimes, a déclaré Velasquez. En réalité, c’est un moyen pour les pirates de créer un compte Google Voice lié au numéro de téléphone du vendeur. Cela permet aux escrocs de perpétrer d’autres escroqueries en utilisant un numéro Google Voice qui ne peut pas être retracé jusqu’à eux, a-t-elle déclaré. La fraude est devenue si importante que l’ITRC a créé un vidéo sur la façon dont les consommateurs concernés peuvent récupérer leur numéro.

Apple ou Microsoft vous contacte ? Ce n’était probablement pas eux

En plus d’avoir des mots de passe ou d’autres informations sensibles compromis en cliquant sur des liens apparemment légitimes dans leurs e-mails, SMS ou réseaux sociaux, les gens ont également tendance à être durement touchés par les escroqueries au support technique basées sur des fenêtres contextuelles informatiques ou des appels téléphoniques. Les pirates peuvent prétendre appartenir à des entreprises réputées telles qu’Apple ou Microsoft et proposer de les aider à résoudre un problème de sécurité qu’ils auraient identifié. Les consommateurs sont dupés en autorisant un accès sans entrave à leur ordinateur, déclenchant la possibilité pour les voleurs de voler leurs mots de passe et autres données personnelles ou d’insister sur le paiement de faux services rendus, a déclaré Pierson.

N’oubliez pas que les entreprises réputées ne contactent pas les consommateurs au hasard et ne proposent pas leur aide pour les problèmes liés à l’informatique. Pierson a déclaré que les consommateurs ne devraient pas s’engager avec une personne inconnue qui tend la main, surtout si les informations de cette personne ne sont pas vérifiables par des moyens indépendants et fiables. “Googler un numéro de téléphone n’est tout simplement pas quelque chose que nous conseillerions non plus”, a-t-il déclaré.