Comment les pirates informatique trouvent des mots de
passe
Vous
êtes vous déjà demandé comment les pirates informatiques trouvent des mots de
passe et causent tant de problèmes sur certains comptes. Une des façons les plus répandues est d'utiliser
les mots de passe les plus évidents, comme "12345" ou "password". Une étude récente de Skyhigh, une compagnie
de sécurité infonuagique, a analysé 12,000 sites de services infonuagiques et a
trouvé que seul 6.5% requiers un mot de passe sécuritaire. 13.6% requiers un mot de passe modéré - défini
comme un mot de passe avec des lettres et des chiffres. Et un nombre impressionnant de 79.9% de sites
de services infonuagiques permettent des mots de passe non sécuritaires - des
mots de passe qui n'utilisent que des lettres en minuscules - et qui sont les
plus vulnérables.
Une autre
mauvaise habitude de sécurité est d'utiliser le même mot de passe sur plusieurs
sites. Une étude de Joseph Bonneau a l'Université
de Cambridge démontre que 31% des utilisateurs réutilisent le même mot de passe
à de multiples endroits.
Les
pirates peuvent utiliser un fichier pour tester tout les mots existants dans le
dictionnaire. Si c'est dans le
dictionnaire, ils le trouveront. Le
compte sera verrouillé après 3 minutes sans succès? Certains pensent que c'est vrai, mais il
existe des façons de contourner ces mesures selon la façon dont le site les a
mis en œuvre. Il est très rare que vous
aurez à téléphoner si vous êtes en lock-out d'un site Web.
Si vous
oubliez votre mot de passe et que vous cliquez sur 'Mot de passe oublié' le
site fera parvenir un lien a votre adresse courriel pour réinitialiser votre
mot de passe. Mais si votre courriel est
compromis, le pirate informatique aura aussi accès au courriel. Et ces questions qu'ils vous posent? Souvent, les réponses à ces questions se
trouvent dans votre Facebook.
Il y a aussi
les programmes malveillants. Un
enregistreur de frappes pourrait avoir été installé sur votre ordinateur et
enregistre tout ce que vous tapez.
Ce pourrait être
un site web avec un système de sécurité mal conçu. Si vous cliquez sur "Mot de passe
oublié" et que vous recevez le mot de passe que vous aviez oublié dans
votre courriel, cela signifie que le mot
de passe est stocké décrypté ou peut être décrypté au niveau du site Web, ce
qui veut dire que les employés du site peuvent décrypter le mot de passe et que
si le site est piraté, les pirates pourraient avoir accès a votre mot de passe.
Vous
pourriez faire les chose correctement de votre coté, comme utiliser des mots de
passe complexe, utiliser un gestionnaire de mots de passe, etc., mais certaines
compagnies ont une insuffisance de
mesures de sécurité de leur coté. Home
Depot, Target, Niemann-Marcus, Anthem et autres. Ces endroits ont tous été piratés et des
informations ont été volés, incluant des mot de passe. Portez attention lorsque le bulletin
d'information annonce qu'un site internet a été piraté.
Ne tapez
jamais un mot de passe lorsque quelqu'un regarde par dessus votre épaule. Certains sont capables de mémoriser ce que
vous tapez.
Les
wifi publics sont des endroit dangereux pour taper un mot de passe. Il existe des façons de capturer tout ce qui
entre et sort de votre ordinateur sur un wifi public. Ce pourrait être quelqu'un assis près de vous
au Tim Horton ou même quelqu'un assis dans sa voiture dans le
stationnement.
Hameçonnage: ne jamais cliquer sur un lien que vous
recevez dans un courriel qui vous demande de vous authentifier et de confirmer les
informations sur votre compte. Pour vous
amuser, passez votre souris sur le lien (sans le cliquer) et regardez ou mène
ce lien. La plupart du temps vous verrez
une adresse qui n'a rien a voir avec le site qu'il prétend représenter.
Le piratage
psychologique est une méthode par laquelle on essai de vous soutirer des
informations soit par téléphone ou dans une conversation anodine. Ils cherchent des informations leur
permettant d'accéder un système informatique en empruntant l'identité de la
victime ou en contournant les procédures normales de sécurité.
Finalement,
un bon anti-virus et de bonnes habitudes de furetage garderont les pirates
informatiques au loin.
________________________________________________________________________
English version
How
to spot a phishing email
Every day people get emails that are
aimed at getting them to disclose private information. Some are obvious frauds. Others are a bit more convincing. Here are a few pointers to spot these
phishing emails.
The first thing to look at is the
hyperlink. If you hover your mouse over
the link, you will see where it actually points to. If the hyperlink is different than the
address it points to, chances are its a fraud.
Some fraud artists are creative and
work on the idea that most people don't know how the DNS naming structure for
domains works. For example, the domain
name "info.blogger.com" would be a child domain of "blogger.com"
because "blogger.com" appears at the end of the full domain name (on
the right). But some malicious links
will point to "blogger.com.malicioussite.com" leading to a different
web site since blogger is on the left side of the link. Some have used "apple.com.malicioussite.com"
to attract people.
When a large corporation sends out a
message, it will usually have it reviewed for spelling, grammar and legal
implication among other things. When you
see a message with poor spelling or grammar, it probably doesn't come from a
legitimate sender.
No matter what the reason, your bank
doesn't need you to give your account number or credit card number, they
already know what it is. the same goes
for companies you deal with, they don't need your password, card number or
security question.
If it's too good to be true, it
probably is. This saying is especially
true when it comes to emails. If you get
an offer from someone you never heard of, chances are it's a scam.
If you didn't initiate the message,
it's probably a scam. If you get a
message saying you won a contest that you don't remember entering, beware.
One sure bet is that they will ask
for money. You might not be asked for
money initially, but you can be sure that at some point they will ask for fees,
taxes or shipping fees. If that happens,
you can be sure it's a scam.
Some will insert threats if you
don't respond promptly. I regularly
receive threats that my account will be suspended if I don't click on the link
and update my information at the bank.
The trouble is that I don't deal with the bank mentioned in the
email. But to someone who does deal with
that bank, they might be convinced that they should follow the link. Your bank would call you or send you
something through regular mail if they really needed to contact you.
They don't always pose as a bank,
sometimes they will try to pose as the income tax people, or the police
department or a law firm. First of all
they need to know that the email is associated to the right person and you
would of had to given that email address in the first place. Then there is the fact that sending an email
is not the preferred method of communication of these agencies.
Finally, if the email message
doesn't look right, it's probably in your best interest to ignore it. I got an email a few weeks ago from a courier
company saying they would deliver a package to me the next day. Having worked late that day, I didn't get
around to it until the next day after the package was delivered. Which means you can ignore that kind of
message.
No comments:
Post a Comment