Un message "Ne dites jamais votre mot de passe à quiconque" dans le chat est-il vraiment nécessaire?

La plupart des failles de sécurité sont de ingénierie sociale, et donc dire à quelqu'un qu'il ne doit en aucun cas donner son mot de passe à quiconque est un tenter d'augmenter la sécurité. Je suggérerais une déclaration plus comme:

Si quelqu'un vous demande votre mot de passe, vous devez supposer qu'il s'agit d'un criminel et le signaler immédiatement!

^{Idée fournie par @Kaz}

En tant que personne plus avertie en informatique, vous pouvez penser que cela va de soi, mais vous seriez choqué par le nombre de personnes qui donnent leur mot de passe à d'autres personnes. J'ai même eu une vieille dame à un guichet automatique qui m'a demandé de l'aider à retirer de l'argent, et avant de réaliser ce qu'elle faisait, elle m'a dit son code PIN.

J'ai été surpris d'apprendre que les adolescents partagent beaucoup plus de mots de passe que je ne pensais.

Alors peut-être pour certaines données démographiques, il est nécessaire de renforcer un comportement plus sécurisé .

C'est une pratique perpétuée par les conseillers juridiques des entreprises et rendue quelque peu nécessaire par notre société contentieuse. C'est idiot et légèrement insultant mais, heureusement, nous le faisons tous donc nous avons tous l'air tout aussi insultants.

Les maux de l'ère de l'information moderne.

Les programmes de chat, les programmes de messagerie électronique et la plupart des pages Web non SSL transfèrent les informations dans un format texte clair . Cela signifie qu'il est non crypté et lisible par toute personne ayant accès au texte.

Même si le réseau auquel votre ordinateur est connecté semble être une connexion directe physique au routeur ou au commutateur, ou peut-être parce que vous avez connecté votre adaptateur réseau sans fil à un routeur ou un modem sans fil, les communications avec ces périphériques ne sont pas bidirectionnelles. en termes de trafic réseau. Fondamentalement, tout sur un réseau va à tout le reste, et tout comme une tour de diffusion radio envoie un signal dans toutes les directions, il en va de même pour une carte réseau sans fil. La différence est que les deux éléments communiquent tous deux diffusés l'un à l'autre avec des informations indiquant la destination prévue. Tout ce qui se trouve sur le réseau a le potentiel de consigner tout le trafic de manière passive et non détectée.

Les gens passent d'innombrables heures à écrire des applications qui grattent et examinent les sites qui contiennent des journaux d'interactions et des transcriptions de chats à la recherche d'informations dans des formats spécifiques. Une fois qu'une correspondance a été trouvée, ces informations sont stockées. De plus, les gens seront assis dans des lieux publics comme les cafés, les aéroports et les quartiers privés, collectant toutes les informations qu'ils peuvent sur les ondes ou hors des réseaux. Plus tard, ils analysent les informations collectées pour des modèles tels que les combinaisons nom d'utilisateur/mot de passe, les numéros de sécurité sociale, les numéros de carte de crédit et même quelque chose d'aussi simple que les adresses e-mail.

Est-ce que ça importe?

De nos jours, la plupart des sites demanderont que votre mot de passe comporte au moins 8 caractères et contienne des caractères aléatoires. C'est la même raison pour laquelle vos coussins de siège d'avion flottent; pour citer Fight Club "l'illusion de la sécurité". Il existe des machines qui peuvent déchiffrer les mots de passe extrêmement rapidement. Et les numéros de sécurité sociale ne sont pas uniques en fonction du nombre de personnes dans le pays et du nombre de chiffres possibles dans le Numéro de sécurité sociale =. Les numéros de carte de crédit sont également devinables/calculables.

Même s'il ne faut pas beaucoup de travail pour écrire un programme pour deviner l'un de ces chiffres, il faut plusieurs tentatives pour pouvoir utiliser un numéro associé à d'autres informations efficacement sans envoyer de drapeau rouge. Cela signifie que même si quelqu'un devine le hachage de votre mot de passe, il doit toujours trouver votre nom d'utilisateur. Ils doivent également fournir votre nom et une sorte d'identification, ainsi que votre numéro de sécurité sociale avant d'acheter cette nouvelle voiture pour laquelle vous ne saviez pas que vous alliez payer.

C'est là que les déclarations "ne partagez vos informations avec personne" entrent en jeu. Tout comme la plupart des entreprises sont légèrement inquiètes d'être poursuivies pour violation d'informations, elles ont extrêmement peur des relations publiques négatives associées à une personne volant des identités sur leurs systèmes, car un journal de discussion, un journal de messagerie électronique, un journal Web ou un journal de routeur a été compromis. . Cela est évident par le grand nombre d'avocats sur la masse salariale dans les entreprises Fortune 500. Ils se couvrent également des conditions d'utilisation.

Que devraient faire les entreprises responsables à ce sujet?

1. Stockez des numéros de carte de crédit partiels dans une base de données ou faites en sorte que les gens fournissent leur CC # à chaque fois.
2. Supprimer les journaux en direct du serveur ou du routeur après un court laps de temps (après avoir été sauvegardés si nécessaire)
3. Chiffrer les sauvegardes et les journaux
4. Supprimez immédiatement tout ce qui ressemble à des données personnelles d'une liste publique où il semble que quelqu'un partage des informations personnelles.

Comment pourraient-ils avertir l'utilisateur?

En plus de placer l'avertissement enfoui dans les termes et conditions du site, ils doivent indiquer spécifiquement comment les informations sont utilisées. Voici quelques exemples.

1. Avertissement: Tout sur ce site Web est public et peut être recherché dans un moteur de recherche.
2. Fournir votre identité personnelle à quelqu'un lui permet de voler votre identité.
3. Ce site Web ne filtre pas les antécédents criminels de ses utilisateurs. Soyez prudent lorsque vous vous rencontrez en personne.
4. En raison de la nature d'Internet, le jeu en ligne peut ne pas convenir aux enfants de moins de 18 ans.

C'est certainement une tactique "mieux vaut prévenir que guérir", mais je pense que ces messages sont plus destinés à l'utilisateur non averti en technologie.

J'ai travaillé avec plusieurs clients plus âgés qui ignorent tout simplement de telles vulnérabilités.

En fin de compte, cela dépend également de l'audience du site. Je doute que github ou stack exchange aura de tels messages.

Cependant, si vous êtes une banque, cela peut être une autre histoire.

Le nombre de mots de passe qui m'ont été donnés au fil des ans est incroyable - mais dans presque tous les cas, je précise que je veux que la personne se connecte elle-même plutôt que de me donner le mot de passe. La seule fois où je me souviens avoir demandé un mot de passe, c'est quand je ne voulais pas avoir à TeamViewer dans leur système afin de manipuler encore un troisième système.

Pour aggraver les choses la culotte de mot de passe peut avoir des effets d'entraînement. Je connais probablement le mot de passe e-mail de chaque employé d'une entreprise. Les mots de passe sont très forts contre une attaque non informée, mais en connaissant deux d'entre eux, je pouvais deviner le reste.

C'est en fait évident, car on observe que le chat/les forums sociaux/ou tout autre site!

1. Les sites sont libres d'ouvrir un compte (dans la plupart des cas). Donc, tout le monde peut ouvrir un compte avec de faux détails/faux compte créé sur un autre hébergeur de messagerie (car seule la vérification des e-mails est effectuée pour éviter les utilisateurs non autorisés). Dans ce cas, certains nouveaux utilisateurs qui sont nouveaux dans l'informatique, principalement des retraités (ou toute bonne personne blessée au nom d'un don) peuvent publier des détails sensibles après quelques conversations. (Alerte !!!)

2. Le chat se déroule essentiellement avec le protocole IRC qui n'est pas sécurisé dans la plupart des cas, et les détails du chat sont faciles à tracer, suivre et stocker. Donc, ce n'est pas un bon moyen non plus pour passer sur ce genre de détail même si vous savez que la personne de l'autre côté est un gars gluant.

3. Il s'agit d'une précaution générale prise par les entreprises pour éviter le nom (diffamation) dans les informations selon lesquelles l'utilisation de l'utilisateur moyen a été affectée.

Je ne sais pas s'il y a plus de raisons ... :)

Cette déclaration est conservée à sa place principalement pour les nouveaux utilisateurs qui n'ont pas encore compris l'exigence d'un mot de passe. Une autre raison à cela serait que le propriétaire du site puisse éviter toute responsabilité en cas de piratage de mots de passe pour des raisons autres que la défaillance de sécurité évidente du site. Comme vous le savez peut-être déjà, les utilisateurs expérimentés ne partagent pas leurs mots de passe avec qui que ce soit. Vous ne pouvez vraiment faire confiance à personne ces jours-ci, même à vos amis, car les farces sur Internet sont de plus en plus nombreuses.