Je lis toujours que l'utilisation du même mot de passe sur plusieurs sites est un risque. Je me demande quelle est la vraie raison de cela?
Dans mon cas, j'utilise le même mot de passe sur plusieurs sites partout. Mon mot de passe est cependant très fort et compliqué et long que j'ai enregistré dans un fichier texte puis copié pour chaque connexion sur les sites auxquels je m'abonne. Cette méthode me protège-t-elle du risque car mon mot de passe est trop compliqué et trop long?
La réutilisation des mots de passe est une mauvaise pratique de sécurité en raison d'un scénario d'attaque simple comme celui-ci:
Avec la réutilisation d'un mot de passe long et compliqué, vous êtes toujours confronté aux mêmes menaces que celles mises en évidence dans le schéma ci-dessus.
En plus de cela, l'enregistrement d'un mot de passe dans un fichier texte est une pratique dangereuse dans la mesure où la confidentialité de votre mot de passe dépend également de la sécurité de votre ordinateur (pensez aux plugins de navigateur malveillants que vous pouvez installer, aux attaques de téléchargement en installant des logiciels espions sur votre machine ...) et celle de votre réseau. Vous pouvez également envisager d'autres scénarios, comme des attaques de phishing sur lesquelles la force de votre mot de passe ne joue aucun rôle.
Chaque fois que vous vous inscrivez et laissez un système externe stocker votre mot de passe, vous dépendez du nouveau système pour vous assurer que votre mot de passe est correctement sécurisé. Cela implique que si l'un des systèmes externes ne sécurise pas votre mot de passe (par exemple, il stocke le mot de passe en texte brut et présente une vulnérabilité d'injection SQL) correctement, quelle que soit votre habitude de sécurité du mot de passe (par exemple, en utilisant un mot de passe très volumineux, en le stockant dans le gestionnaire de mots de passe ), votre mot de passe partagé sera exposé si ce système externe est compromis. Une fois compromis, d'autres peuvent utiliser le mot de passe pour essayer de se connecter à d'autres sites potentiels et ils réussiront si vous partagez le même mot de passe.
Avoir un mot de passe fort ne vous protège pas des vulnérabilités liées à la réutilisation des mots de passe.
Vous avez donc trouvé un mot de passe fort que vous utilisez pour vous inscrire à la plupart des services Internet que vous utilisez. Génial! Vous êtes maintenant probablement à l'abri des personnes qui essaient de se connecter à votre compte en devinant tous les mots de passe possibles que vous pourriez avoir et en espérant que l'un d'entre eux est correct (une attaque "par force brute").
Supposons que vous tombiez sur mon tout nouveau site Web, qui vous offre une merveilleuse newsletter qui vous intéresse vraiment. Vous décidez de vous inscrire à ce site. Vous entrez votre adresse e-mail et votre mot de passe fort habituel.
Malheureusement pour vous, je n'ai pas été vraiment honnête, et bien que je mette en place un abonnement à la newsletter, j'envoie également l'adresse e-mail et le mot de passe que vous venez de taper dans mon e-mail personnel. Une fois que cela arrive dans ma boîte de réception, je peux essayer la combinaison sur Facebook, Gmail, Yahoo Mail, Twitter, etc. etc. Tôt ou tard, je vais accéder à l'un de vos comptes.
Sinon, supposons que j'étais honnête et que je n'étais pas là pour voler votre compte, mais j'étais vraiment mauvais en matière de sécurité. Peut-être que je stockais votre mot de passe dans une base de données en texte brut et que je n'avais rien en place pour empêcher un attaquant d'y entrer. Alors, un jour, une méchante personne trouve un moyen de copier le contenu de la base de données, et soudain, elle a aussi votre e-mail et votre mot de passe! Oops.
Lorsque vous choisissez un mot de passe pour un site Web ou un service, il est toujours préférable de supposer que le mot de passe pourrait, à un moment donné, être lu par quelqu'un.
Vous devez simplement vous assurer que si et quand cela se produit, les informations compromises ne permettent à personne d'accéder à l'un de vos autres comptes.
La réutilisation des mots de passe augmente la surface d'attaque en donnant à un attaquant la possibilité de compromettre tous vos comptes via une seule attaque. Cela peut être accompli via un MITM (qui nécessiterait un certificat falsifié pour les sites TLS), l'obtention du mot de passe via une base de données (qui nécessite un accès, et est également à peu près impossible avec un hachage sécurisé + sel), ou un site Web malveillant , la dernière option étant la plus simple.
Votre mot de passe est désormais aussi sécurisé que le site Web le plus faible, et de nombreux sites utilisent des protocoles de sécurité dépréciés. L'entropie de votre mot de passe ne vous protégera pas, car il existe des méthodes d'entropie bien inférieures pour obtenir votre mot de passe.
J'encourage tout le monde à sécuriser ses mots de passe autant qu'il se soucie d'être compromis. Vous ne pouvez pas savoir si la sécurité d'un site est bonne ou non, et donc votre mot de passe pourrait être compromis. Supposons que la sécurité du site est mauvaise et que votre mot de passe pourrait être connu par des millions de personnes demain.
Cela signifie:
Réutilisez uniquement les mots de passe sur les sites jetables qui vous obligent à enregistrer un mot de passe auquel vous vous feriez si quelqu'un est entré par effraction. Un bon exemple serait Adobe.com qui vous oblige à vous inscrire, mais qui est sinon un compte inutile.
Ne réutilisez jamais les mots de passe de votre compte de messagerie principal, car l'accès à votre messagerie principale peut être utilisé pour réinitialiser votre mot de passe sur d'autres sites. Activez l'authentification à deux facteurs si possible.
Ne réutilisez jamais un mot de passe pour quoi que ce soit où vous pourriez perdre de l'argent. Les banques, Paypal et les sites d'investissement sont tous des cibles faciles à vous voler. Malheureusement, la plupart de ces sites n'offrent pas d'authentification à deux facteurs, donc la réutilisation du mot de passe pourrait facilement vous coûter de l'argent en cas de vol.
La réutilisation du même mot de passe ne signifie pas que les connexions à votre site et les données qu'elles protègent sont toutes aussi sécurisées que votre mot de passe (espérons-le très sécurisé). Au lieu de cela, cela signifie que vos connexions et vos données sont à la place aussi sécurisées que le site avec la sécurité la plus faible de votre liste de sites.
Si quelqu'un s'introduit dans/vole, je ne sais pas, Adobe base de données utilisateur, ou LinkedIn ou Ashley Madison (ne pas suggérer vous avez un compte là bien sûr) alors ils auront l'adresse e-mail/nom d'utilisateur et le mot de passe de toutes les personnes sur ce site qui utilisent un système comme le vôtre.
Pensez-vous vraiment que c'est au-delà de l'esprit des gens assez intelligents pour le faire d'être également assez intelligent pour écrire un processus automatisé pour essayer ces noms d'utilisateur et mots de passe piratés contre d'autres sites populaires?
La force de votre mot de passe dépend de la sécurité du site sur lequel vous l'utilisez. Il suffit d'un site pour ne pas le protéger et il expose tous les autres. Les bases comme le hachage des mots de passe avec un sel devraient être le minimum pour tout site qui demande votre mot de passe. Si le stocker en texte brut, ils ont également exposé tous les autres sites que vous utilisez. Si un site vous envoie un mot de passe par e-mail si vous l'avez oublié et pas un moyen de le réinitialiser, alors il a stocké votre mot de passe en texte brut et vous devez changer tous les comptes qui utilisaient ce mot de passe.
Si vous voulez vraiment utiliser le même mot de passe pour tous les sites Web, pourquoi ne pas utiliser un gestionnaire de mots de passe? De cette façon, vous n'avez qu'à mémoriser un seul mot de passe (pour votre gestionnaire de mots de passe) et vous avez également un mot de passe fort unique pour chaque site. Si des sites Web que vous utilisez sont compromis, seul ce mot de passe est compromis et pas toutes vos connexions.