Pour éviter que vos mots de passe ne soient piratés par l'ingénierie sociale, la force brute ou la méthode d'attaque par dictionnaire, et pour assurer la sécurité de vos comptes en ligne, vous devez noter que:
1. N'utilisez pas le même mot de passe, la même question de sécurité et la même réponse pour plusieurs comptes importants.
2. Utilisez un mot de passe d'au moins 16 caractères, utilisez au moins un chiffre, une lettre majuscule, une lettre minuscule et un symbole spécial.
3. N'utilisez pas les noms de vos familles, amis ou animaux de compagnie dans vos mots de passe.
4. N'utilisez pas de codes postaux, de numéros de maison, de numéros de téléphone, de dates de naissance, de numéros de carte d'identité, de numéros de sécurité sociale, etc. dans vos mots de passe.
5. N'utilisez aucun mot du dictionnaire dans vos mots de passe.
Exemples de mots de passe forts: ePYHc~dS*)8$+V-' , qzRtC{6rXN3N\RgL , zbfUMZPE6`FC%)sZ.
Exemples de mots de passe faibles: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword.
6. N'utilisez pas deux ou plusieurs mots de passe similaires dont la plupart des caractères sont identiques, par exemple, ilovefreshflowersMac, ilovefreshflowersDropBox, car si l'un de ces mots de passe est volé, cela signifie que tous ces mots de passe sont volés.
7. N'utilisez pas quelque chose qui peut être cloné (mais que vous ne pouvez pas changer) comme mot de passe, comme vos empreintes digitales.
8. Ne laissez pas vos navigateurs Web (FireFox, Chrome, Safari, Opera, IE, Microsoft Edge) stocker vos mots de passe, car tous les mots de passe enregistrés dans les navigateurs Web peuvent être révélés facilement.
9. Ne vous connectez pas à des comptes importants sur les ordinateurs d'autres personnes ou lorsque vous êtes connecté à un point d'accès Wi-Fi public, à Tor, à un VPN gratuit ou à un proxy Web.
10. N'envoyez pas d'informations sensibles en ligne via des connexions non chiffrées (par exemple, HTTP ou FTP), car les messages de ces connexions peuvent être reniflés avec très peu d'effort. Vous devez utiliser des connexions cryptées telles que HTTPS, SFTP, FTPS, SMTPS, IPSec dans la mesure du possible.
11. En voyage, vous pouvez crypter vos connexions Internet avant qu'elles ne quittent votre ordinateur portable, votre tablette, votre téléphone portable ou votre routeur. Par exemple, vous pouvez configurer un VPN privé avec des protocoles tels que WireGuard (ou IKEv2, OpenVPN, SSTP, L2TP sur IPSec) sur votre propre serveur (ordinateur personnel, serveur dédié ou VPS) et vous y connecter. Vous pouvez également configurer un tunnel SSH crypté entre votre ordinateur et votre propre serveur et configurer Chrome ou FireFox pour utiliser le proxy socks. Ensuite, même si quelqu'un capture vos données lors de leur transmission entre votre appareil (par exemple, un ordinateur portable, un iPhone, un iPad) et votre serveur avec un renifleur de paquets, il ne pourra pas voler vos données et vos mots de passe à partir des données de streaming cryptées.
12. Dans quelle mesure mon mot de passe est-il sécurisé? Peut-être pensez-vous que vos mots de passe sont très forts, difficiles à pirater. Mais si un pirate a volé votre nom d'utilisateur et la valeur de hachage MD5 de votre mot de passe sur le serveur d'une entreprise, et que la table arc-en-ciel du pirate contient ce hachage MD5, votre mot de passe sera rapidement piraté.
Pour vérifier la force de vos mots de passe et savoir s'ils se trouvent dans les tables arc-en-ciel populaires, vous pouvez convertir vos mots de passe en hachages MD5 sur un générateur de hachage MD5 , puis décryptez vos mots de passe en soumettant ces hachages à un service de décryptage MD5 en ligne. Par exemple, votre mot de passe est "0123456789A", en utilisant la méthode de la force brute, cela peut prendre près d'un an à un ordinateur pour déchiffrer votre mot de passe, mais si vous le décryptez en soumettant son hachage MD5 ( C8E7279CD035B23BB9C0F1F954DFF5B3 ) à un site Web de décryptage MD5, comment faudra-t-il longtemps pour le casser? Vous pouvez effectuer le test vous-même.
13. Il est recommandé de changer vos mots de passe toutes les 10 semaines.
14. Il est recommandé de mémoriser quelques mots de passe principaux, de stocker d'autres mots de passe dans un fichier texte brut et de crypter ce fichier avec 7-Zip, GPG ou un logiciel de cryptage de disque tel que BitLocker, ou de gérer vos mots de passe avec un logiciel de gestion de mots de passe.
15. Chiffrez et sauvegardez vos mots de passe à différents endroits, puis si vous perdez l'accès à votre ordinateur ou à votre compte, vous pourrez récupérer vos mots de passe rapidement.
16. Activez l'authentification en deux étapes dans la mesure du possible.
17. Ne stockez pas vos mots de passe critiques dans le cloud.
18. Accédez directement aux sites Web importants (par exemple Paypal) à partir des signets, sinon veuillez vérifier attentivement son nom de domaine, c'est une bonne idée de vérifier la popularité d'un site Web avec la barre d'outils Alexa pour vous assurer qu'il ne s'agit pas d'un site de phishing avant d'entrer votre mot de passe.
19. Protégez votre ordinateur avec un pare-feu et un logiciel antivirus, bloquez toutes les connexions entrantes et toutes les connexions sortantes inutiles avec le pare-feu. Téléchargez le logiciel à partir de sites réputés uniquement et vérifiez la somme de contrôle MD5 / SHA1 / SHA256 ou la signature GPG du package d'installation dans la mesure du possible.
20. Conservez les systèmes d'exploitation (par exemple, Windows 7, Windows 10, Mac OS X, iOS, Linux) et les navigateurs Web (par exemple, FireFox, Chrome, IE, Microsoft Edge) de vos appareils (par exemple, Windows PC, Mac PC, iPhone, iPad, Android tablette) à jour en installant la dernière mise à jour de sécurité.
21. S'il y a des fichiers importants sur votre ordinateur et que d'autres personnes peuvent y accéder, vérifiez s'il existe des enregistreurs de frappe matériels (par exemple, un renifleur de clavier sans fil), des enregistreurs de frappe logiciels et des caméras cachées lorsque vous le jugez nécessaire.
22. S'il y a des routeurs WIFI dans votre maison, il est alors possible de connaître les mots de passe que vous avez tapés (chez votre voisin) en détectant les gestes de vos doigts et de vos mains, car le signal WIFI qu'ils ont reçu changera lorsque vous bougerez vos doigts et vos mains. Vous pouvez utiliser un clavier à l'écran pour taper vos mots de passe dans de tels cas, il serait plus sûr que ce clavier virtuel (ou clavier logiciel) change de disposition à chaque fois.
23. Verrouillez votre ordinateur et votre téléphone portable lorsque vous les quittez.
24. Chiffrez l'intégralité du disque dur avec VeraCrypt, FileVault, LUKS ou des outils similaires avant d'y placer des fichiers importants, et détruisez physiquement le disque dur de vos anciens appareils si nécessaire.
25. Accédez à des sites Web importants en mode privé ou incognito, ou utilisez un navigateur Web pour accéder à des sites Web importants, utilisez-en un autre pour accéder à d'autres sites. Ou accédez à des sites Web sans importance et installez de nouveaux logiciels dans une machine virtuelle créée avec VMware, VirtualBox ou Parallels.
26. Utilisez au moins 3 adresses e-mail différentes, utilisez la première pour recevoir des e-mails de sites et d'applications importants, tels que Paypal et Amazon, utilisez la seconde pour recevoir des e-mails de sites et d'applications sans importance, utilisez la troisième (d'un autre fournisseur de messagerie , comme Outlook et GMail ) pour recevoir votre e-mail de réinitialisation de mot de passe lorsque le premier (par exemple Yahoo Mail ) est piraté.
27. Utilisez au moins 2 numéros de téléphone différents, ne communiquez PAS aux autres le numéro de téléphone que vous utilisez pour recevoir les messages texte des codes de vérification.
28. Ne cliquez pas sur le lien dans un e-mail ou un SMS, ne réinitialisez pas vos mots de passe en cliquant dessus, sauf que vous savez que ces messages ne sont pas faux.
29. Ne divulguez vos mots de passe à personne dans l'e-mail.
30. Il est possible que l'un des logiciels ou applications que vous avez téléchargés ou mis à jour ait été modifié par des pirates, vous pouvez éviter ce problème en n'installant pas ce logiciel ou cette application à la première fois, sauf qu'il est publié pour corriger les failles de sécurité. Vous pouvez utiliser des applications Web à la place, qui sont plus sécurisées et portables.
31. Soyez prudent lorsque vous utilisez des outils de collage en ligne et des outils de capture d'écran, ne les laissez pas télécharger vos mots de passe sur le cloud.
32. Si vous êtes un webmaster, ne stockez pas les mots de passe des utilisateurs, les questions de sécurité et les réponses sous forme de texte brut dans la base de données, vous devez stocker les valeurs de hachage salées ( SHA1, SHA256 ou SHA512 ) de ces chaînes à la place.
Il est recommandé de générer une chaîne de sel aléatoire unique pour chaque utilisateur. De plus, c'est une bonne idée d'enregistrer les informations sur l'appareil de l'utilisateur (par exemple, la version du système d'exploitation, la résolution de l'écran, etc.) et d'enregistrer leurs valeurs de hachage salée, puis lorsqu'il essaie de se connecter avec le mot de passe correct mais son appareil l'information ne correspond PAS à la précédente enregistrée, laissez cet utilisateur vérifier son identité en saisissant un autre code de vérification envoyé par SMS ou par e-mail.
33. Si vous êtes un développeur de logiciels, vous devez publier le package de mise à jour signé avec une clé privée à l'aide de GnuPG et vérifier sa signature avec la clé publique publiée précédemment.
34. Pour assurer la sécurité de votre entreprise en ligne, vous devez enregistrer votre propre nom de domaine et configurer un compte de messagerie avec ce nom de domaine, vous ne perdrez pas votre compte de messagerie et tous vos contacts, car vous pouvez héberger votre serveur de messagerie n'importe où , votre compte de messagerie ne peut pas être désactivé par le fournisseur de messagerie.
35. Si un site d'achat en ligne n'autorise que le paiement par carte de crédit, vous devez plutôt utiliser une carte de crédit virtuelle.
36. Fermez votre navigateur Web lorsque vous quittez votre ordinateur, sinon les cookies peuvent être interceptés facilement avec un petit périphérique USB, ce qui permet de contourner la vérification en deux étapes et de vous connecter à votre compte avec des cookies volés sur d'autres ordinateurs.
37. Méfiez-vous et supprimez les mauvais certificats SSL de votre navigateur Web, sinon vous ne pourrez PAS assurer la confidentialité et l'intégrité des connexions HTTPS qui utilisent ces certificats.
38. Chiffrez toute la partition système, sinon veuillez désactiver les fonctions de fichier d'échange et d'hibernation, car il est possible de trouver vos documents importants dans les fichiers pagefile.sys et hiberfil.sys.
39. Pour empêcher les attaques de connexion par force brute sur vos serveurs dédiés, serveurs VPS ou serveurs cloud, vous pouvez installer un logiciel de détection et de prévention des intrusions tel que LFD (Login Failure Daemon) ou Fail2Ban.
40.
Si c'est possible, utilisez un logiciel basé sur le cloud au lieu d'installer le logiciel sur votre appareil local, car il y a de plus en plus d'attaques de la chaîne d'approvisionnement qui installeront des applications malveillantes ou mettront à jour votre appareil pour voler vos mots de passe et accéder à des données top secrètes.
41.
C'est une bonne idée de générer les sommes de contrôle MD5 ou SHA1 de tous les fichiers sur votre ordinateur (avec un logiciel comme MD5Summer) et d'enregistrer le résultat, puis de vérifier l'intégrité de vos fichiers (et de trouver des fichiers de Troie ou des programmes avec backdoor injecté) tous les jours en comparant leurs sommes de contrôle avec le résultat enregistré précédemment.
42.
Chaque grande entreprise doit mettre en œuvre et appliquer un système de détection d'intrusion basé sur l'intelligence artificielle (y compris des outils de détection d'anomalies de comportement du réseau).
43.
Autorisez uniquement les adresses IP figurant sur la liste blanche à se connecter ou à se connecter aux serveurs et ordinateurs importants.
Services de développement Web professionnels Utilisations également un mot de passe complexe.