N'utilisez
pas votre compte Facebook pour vous authentifier ailleurs
Lorsque vous visitez certains
sites, on vous offre d'utiliser un compte de réseau social pour vous
authentifier (Facebook, Twitter, Google+).
C'est ce que l'on appelle utiliser Oauth pour
vous authentifier.
Oauth fut créé à partir d'une idée
de Blaine Cook en 2006 pour simplifier l'authentification entre les sites. L'idée fut présentée au groupe de travail Internet
Engineering Task Force en novembre 2008.
Depuis le 31 aout 2010, toutes les applications externes de Twitter
doivent utiliser Oauth. 63 sites
utilisent offrent cette méthode d'authentification.
Le problème avec cette méthode est
que si le mot de passe de votre réseau social est compromis, tous les sites où
vous avez utilisé Oauth pour vous authentifier sont aussi compromis. Et si celui qui a deviné le mot de passe de
votre réseau social teste les autres sites avec votre mot de passe et en trouve
un avec une connexion financière quelconque, le voilà en affaires. Et s’il change le mot de passe sur le compte
de votre réseau social, votre accès est bloqué et vous aurez beaucoup de mal à
remédier la situation.
C'est pourquoi vous devriez avoir
un mot de passe différent pour tous les sites. Le gestionnaire de mot de passe a été créé pour vous aider à
gérer vos mots de passe. L’utilisation
de vos justificatifs d'identité de réseau social pour vous authentifier sur
d'autres sites est l'équivalent de demander d'être piraté.
Lorsqu'on vous offre d'accéder à un
site en utilisant un compte existant de média social, ne le faites pas! Utilisez le gestionnaire de mot de passe pour
générer un mot de passe fort, difficile à deviner. Le gestionnaire de mot de passe s'en souviendra
pour vous. Il est important aussi
d'utiliser un mot de passe difficile à deviner pour votre gestionnaire de mots
de passe puisqu'il contient des mots de passe importants. Je suggère aussi d'utiliser un mot de passe
unique pour votre site bancaire et vos comptes financiers qui ne sera pas
sauvegardé dans votre gestionnaire de mots de passe (au cas où).
Un autre problème vient à l'esprit.
Plusieurs sites vous demandent
d'utiliser votre adresse courriel comme nom d'utilisateur. La raison principale est qu'ils peuvent
ensuite vous envoyer un lien dans un courriel pour s'assurer que vous êtes bien
une personne réelle. En même temps, ces
sites offrent de récupérer un mot de passe oublié en envoyant un lien de
récupération à cette adresse courriel.
Qu'arrive-t-il si votre adresse courriel est compromise?
Il n'y a aucune autre solution que
de faire très attention à votre adresse courriel en utilisant un mot de passe
difficile à deviner, ne jamais l'accéder à partir d'un ordinateur public et
d'utiliser l'authentification à deux facteurs lorsque disponible.
Quelques liens intéressants:
_________________________________________________________________________
English version
Don't use your Facebook account to
sign into other sites
When you
visit certain sites, they offer you to sign in using one
of your social network accounts (i.e.: Facebook, Twitter, Google+). That is called using Oauth to authenticate.
Oauth was
created from an idea Blaine Cook had in 2006 to simplify authentication between
sites. The idea was presented to the
Internet Engineering Task Force in November 2008. Since August 31, 2010, all third party Twitter
applications have been required to use OAuth.
63 sites currently offer this
method of authentication.
But the
problem with this method is that if your social network password is
compromised, all of the sites where you have been using Oauth to authenticate
are also compromised. If whoever guessed
your social network password tests other sites with your password and finds one
with some sort of financial connection he gets a reward as a bonus. And if the thief changes your password on
your social network account, you are locked out and have a lot of work to do
before you can do anything about it.
That's why
you should have a different password for every site. Password
managers where created to help you manage your passwords. Using your social network credentials to log
into other sites is like asking to be hacked.
When
offered to log in using an existing social media account, don't do it! Use a password manager to generate a strong,
hard to guess password. The password
manager will remember it for you. It's
also important to use a hard to guess password for your password manager since
it also contains important passwords. I also
suggest you use a unique password for your banking and financial accounts that
is not saved in your password manager (just in case).
Another
issue comes to mind. Several sites ask
you to use an email account as your user name.
The main reason is that they can send a link in an email to that address
to confirm you are a real person. At the
same time, these sites offer to recover your password by sending a recovery
link to that email address. What if your
email account is compromised?
There is
no other solution but to take very good care of your email account. Use a strong password, never log on from a
public computer and use two factor authentication when available.
This might
sound paranoid, but you're better off safe than sorry.
A few interestig links:
No comments:
Post a Comment