Rendez vos mots de passe plus puissants: leçons d'un serrurier

débranché

ParDave Greenbaum

Dernière mise à jour le11 septembre 2019

Respirez profondément et acceptez votre mot de passe seul n'est pas beaucoup de protection. Votre Approche 2FA est mieux, mais toujours pas efficace à 100%. Votre mot de passe est une serrure de porte et votre 2FA est un pêne dormant. Une serrure de porte et un pêne dormant dissuadent mais n'empêchent pas les effractions. Jusqu'à ce que les entreprises mettent en œuvre certaines idées J'ai écrit récemment, vous pouvez prendre certaines mesures pour vous protéger. Ce sont des choses que nous faisons pour protéger nos maisons - où résident généralement tous nos produits non numériques.

Pourquoi la porte d'entrée est-elle ouverte?

Ma maison n'a jamais été cambriolée, mais ma voiture l'a été il y a quelques années. J'ai vu suffisamment de films pour savoir où commence l'histoire. Vous mettez la clé dans la porte et réalisez que la porte est déjà ouverte. Quelque chose ne tourne pas rond.

Tout comme avec votre compte en ligne, vous devez être attentif à tout ce qui n'est pas à sa place. Bien sûr, Facebook change tout le temps, mais vous devez toujours garder un œil sur les choses qui n'ont pas de sens. Voici quelques exemples: un nouvel ami dont vous ne vous souvenez pas ou, étant ajouté à un groupe dont vous ne vous souvenez pas avoir rejoint. Facebook vous met en garde contre accès suspect, mais les gens ignorent trop souvent ces e-mails comme spam. L'hameçonnage tente d'imiter des sites Web légitimes, mais généralement, il y a un «tell». Quelque chose ne va pas, mais trop souvent vous l’ignorez parce que vous êtes occupé.

C’est comme la personne qui dit "Oh bien, je dois avoir laissé la porte ouverte". Non, tu ne l'as pas fait! Si quelque chose ne va pas, c'est lorsque vous ouvrez la porte très soigneusement et devenez très conscient. Dans les films et la télévision, la personne ignore son instinct et l'intrigue s'épaissit. Oui, l'appel vient de l'intérieur de la maison, mais la prochaine fois n'entrez pas!

Pour vos comptes en ligne, le problème est de déterminer la différence entre un Hameçonnage tentative et une menace légitime pour la sécurité. La meilleure approche consiste à modifier votre mot de passe lorsque quelque chose semble déplacé, même si vous êtes sûr qu'il s'agit de phishing. Cela devrait être un avertissement: «Hé, quelqu'un peut voler des mots de passe, il est temps de changer le mien». Évidemment, vous ne devez pas suivre le lien sur un e-mail de phishing. Traitez-le comme un appel prétendant provenir de la société de carte de crédit et souhaitant vos informations privées comme votre SSN ou votre numéro de compte. Ne faites jamais confiance à la personne qui vous appelle. Appelez plutôt le numéro au dos de votre carte. Si vous recevez un e-mail de Yahoo vous demandant de modifier votre mot de passe, ignorez les liens contenus dans cet e-mail. Accédez à votre compte de la manière habituelle et changez votre mot de passe.

Un mur est plus sûr qu'une porte ou une fenêtre

C'était un adage qu'un serrurier m'a dit. S'il y a une porte ou une fenêtre, cela signifie qu'elle peut être percée. Les murs sont un peu plus difficiles à percer. Si vous n'utilisez pas de porte vers l'extérieur, il est temps de la retirer. L'équivalent numérique de ceci est de limiter les comptes en ligne que vous créez. Plus vous avez de comptes, plus vous êtes exposé. Chaque fois que vous créez un compte en ligne, vous mettez votre identité numérique un peu plus en danger. À moins que vous ne soyez sûr que vous allez acheter à nouveau auprès d'une entreprise, utilisez la caisse d'invité. Moins vous utilisez de bases de données, moins vous mettez votre identité en danger. Bien sûr, vous aurez toujours besoin de certains comptes, mais le fait de savoir si vous devez créer un compte à chaque fois devrait vous aider.

Vérifiez ces verrous: un audit de mot de passe numérique

Chaque année, j'essaie de faire un audit numérique. Je le fais à l'heure des impôts - c'est-à-dire en même temps que je vérifie mon dossier de crédit. Je passe par mon gestionnaire de mots de passe et je nettoie les choses suivantes.

1 - Supprimer les comptes que je n'utilise plus: j'ai essayé quelque chose, je n'aimais pas, il est donc temps de fermer le compte. Avant de fermer le compte, je modifie le mot de passe au cas où il se casserait. Nous avons des guides pour quitter les services Web les plus populaires comme Facebook, Instagram, Twitter, et LinkedIn que vous devez suivre chaque fois que vous souhaitez les fermer.

2 - Changer les mots de passe sur tous les sites que j'utilise. C’est une douleur, mais lorsque cette base de données sera détruite, ce sera une plus grande douleur. Encore une fois, mon ami serrurier me rappelle de changer mes serrures à la maison de temps en temps. Je ne me souviens plus à qui j'ai donné les clés, il est donc temps de recommencer à zéro.

3 - Examiner les options de sécurité: à mesure que les menaces de sécurité en ligne se développent, les entreprises ajoutent des options supplémentaires. Il est également évident de rechercher deux facteurs. Activez-le sur tous les services en ligne qui le proposent.

4 - Désactivez les autorisations inutilisées: Dropbox, Facebook et une tonne d'autres services dans le cloud permettent aux tiers d'accéder à leurs services ou d'utiliser les services via une API. Cela signifie qu'ils peuvent menacer votre compte Gmail sans jamais avoir accès à votre mot de passe. Certains sont nécessaires (je suis un grand fan de IFTTT), mais j'audite ces autorisations et supprime les services que je n'utilise plus.

Attendez avant d'installer une nouvelle application ou un nouveau logiciel

J'aime essayer de nouveaux programmes comme tout le monde. Les programmes escrocs passent à travers toutes sortes de magasins d'applications, alors j'attends quelques semaines avant de mettre le logiciel sur un appareil de confiance (j'ai un équipement de test, enfin, pour les tests). Il en va de même pour les services Web. Il n'y a pas vraiment de mal à attendre qu'un programme soit légitime et qu'il ne soit pas criblé de failles de sécurité. Les tests sont très bien, mais testez sur une machine de test, pas sur un équipement de production.

Jusqu'à ce que la technologie nous libère complètement des mots de passe, un peu de diligence raisonnable peut prévenir ou au moins contenir les failles de sécurité inévitables.