Phishing : Comment choisir un mot de passe intelligent ?
Une vague de phishing a eu lieu récemment. Plusieurs boîtes de messagerie Hotmail – 10 000 comptes Hotmail européens – ont été touchées par cette attaque. Yahoo! Mail, AOL mail, Comcast et Gmail n’ont pas été épargnés – 30 000 comptes Gmail ont été exposés.
Vous vous demandez certainement comment faire pour se protéger de ce type de piratage qui tient plus de l’escroquerie que d’une faille de sécurité des infrastructures informatiques. La première des choses à faire, c’est de bien choisir vos mots de passe. Dans le blog officiel de Gmail, Google vous propose de suivre des conseils pour créer des « mots de passe intelligents » – c’est l’expression de Google -, voici les conseils :
- ne reprenez pas le même mot de passe dans tous les services web – messagerie, services bancaires en ligne, réseaux sociaux et sites d’achat, etc. – qui vous demandent de vous identifier. Si une personne réussit à trouver un de vos mots de passe, en principe elle aurait accès à plusieurs de vos comptes. 40% des internautes utilisent toujours le même mot de passe. Source: Nouvelobs.com ;
- n’utilisez pas des mots courants ou des mots trouvés dans le dictionnaire. Évitez les « azerty », les « qwerty » ou les « 123456 » Créez plutôt des mots de passe qui combinent des lettres, des chiffres et des symboles – si possible ;
- n’utilisez pas des mots de passe basés sur des données personnelles. Évitez de choisir par exemple vos dates de naissance, vos numéros de téléphone comme mot de passe ;
- ne notez pas votre mot de passe dans un endroit non sécurisé. Que vous soyez chez vous ou au bureau, vous n’êtes pas à l’abri des escrocs. Si vous tenez à noter vos mots de passe dans un fichier, évitez de nommer votre fichier « mes mots de passe », il faudrait que le fichier soit plus discret, caché quelque part dans un dossier de votre ordinateur ;
- assurez-vous que les options de récupération de vos mots de passe soient à jour. Il vous est peut-être déjà arrivé de ne plus vous souvenir votre mot de passe. Parfois le site web vous propose de ré-initialiser ou de récupérer votre mot de passe depuis votre adresse e-mail, ou depuis votre seconde adresse e-mail. Si vous utilisez rarement votre seconde adresse e-mail, vérifiez qu’elle ne soit pas désactivée. Des sites web vous proposent un mode de récupération de mot de passe par question personnalisée. Faites en sorte de créer une question pour une réponse que vous seul connaissez.
Conseil de Ya-graphic.com : les derniers navigateurs – Chrome, Firefox, etc. – vous permettent de sauvegarder vos identifiants et vos mots de passe – lorsqu’ils vous le demandent -, si vous pensez que d’autres personnes peuvent accéder à votre ordinateur, ce serait peut-être mieux pour vous de désactiver cette fonctionnalité.
Julien
8 octobre 2009 10 h 17 minChoisir un bon mot de passe est effectivement une bonne chose, mais ne protège nullement du phishing.
Contre le phishing, seules information et précautions peuvent protéger. Et là, c’est mal parti.
admin
8 octobre 2009 13 h 27 minTout à fait. Le choix du mot de passe est une des protections, pas la seule. Vous anticipez mes prochains articles.
Julien
8 octobre 2009 14 h 08 minLe principe du phishing, c’est de demander à l’utilisateur de donner son mot de passe, en se faisant passer pour une entité de confiance.
Choisir un bon mot de passe est une protection contre les attaques brute force (d’ailleurs, un conseil de plus à donner est de choisir des mots de passe longs) ou dictionnaire. Ça ne protège pas du tout du phishing !
Changer de mot de passe est une réaction a avoir après avoir subi un phishing. Mais je le répète, cela ne protège en rien du phishing.
admin
8 octobre 2009 14 h 46 minDans sa forme primaire le phishing, appelé aussi hameçonnage, est une forme d’escroquerie utilisée via Internet pour obtenir un bien ou une information. La définition que vous donnez est tirée de Wikipédia. C’est cette forme là qui a été employée pour récupérer les mots de passe de Gmail.
Mais n’oublions pas que le phishing est une escroquerie banale. Le moyen utilisé n’est pas de s’introduire via des failles informatiques, mais par l’exploitation de la confiance, de l’ignorance ou de la crédulité des utilisateurs. C’est le facteur humain qui est visé, pas le système informatique. Et là on parle d’ingénierie sociale : cette manipulation fonctionne aussi par téléphone, par courrier écrit, sur le même poste de travail, etc. A partir de ce constat, le hameçonnage est une pratique qui peut être aussi bien utilisée par un inconnu (de poste à poste) que par un proche (sur le même poste) et c’est cette forme là qu’on oublie trop souvent. D’où l’utilité de bien choisir ses mots de passe et de suivre les conseils cités dans cet article.
Un long mot de passe peut paraître meilleur. Quand on s’inscrit à Gmail, le bon choix du mot de passe est déterminé aussi par la longueur. D’ailleurs Gmail vous demande une longueur minimum de 8 caractères. Mieux on combine les lettres et les chiffres et les symboles, mieux c’est. Pas la peine d’écrire non plus une phrase ! Mais personne ne vous empêche de le faire si vous faites partie des RG. 🙂
Un exemple de mot de passe de 8 caractères: d8R1tN@2 (le niveau de sécurité du mot de passe est élevé). Pour WordPress, les mots de passe qu’on vous attribue pour la première fois sont aussi très bons. Ni trop longs ni trop courts.