Presque chaque semaine ou, pour être optimiste, chaque mois, des nouvelles sont entendues sur les données volées par des pirates informatiques qui ont réussi à voler les informations d'identification d'accès à un site important .
Le dernier de ces jours est le plus grand vol de données jamais diffusé en ligne, avec même 773 millions d'e-mails et 21 millions de mots de passe piratés (cette différence dépend du fait que beaucoup utilisent le même mot de passe) et publiés, mis à la disposition de tous ceux qui veulent les essayer dans divers comptes Web ou bancaires.
Cela signifie que même si notre adresse e-mail que nous utilisons pour accéder à Facebook, Google ou la banque en ligne est incluse dans cette énorme liste et que nous n'avons jamais changé le mot de passe ces derniers temps, n'importe qui peut l'essayer et voler facilement notre compte. .
Comme d'habitude, il est toujours recommandé de changer immédiatement le mot de passe du compte qui peut avoir été compromis.
Mais le problème ne se termine pas aussi facilement.
LIRE AUSSI: Avis de changement de mot de passe s'il est compromis ou déjà utilisé dans Chrome
Le point avec ces vols de mots de passe est le suivant: si j'ai un compte avec Linkedin qui s'est retrouvé dans ces listes qui fonctionnent sur le web profond ou qui sont proposés à la vente par des pirates, si pour ce compte j'ai utilisé une adresse e-mail et un mot de passe qui Je l'utilise également pour d'autres comptes tels que ceux de Google, Facebook, Microsoft ou autres, alors ceux-ci sont également très à risque et leur mot de passe doit également être changé.
Nous avons parlé de ces dynamiques dans un article spécifique expliquant simplement "comment les mots de passe sont volés sur Internet".
Comme l'expliquent ceux qui ont découvert cette liste d'e-mails et de mots de passe volés, à savoir le responsable de la chasse à Troy du site Have I Been Pwned, des personnes malveillantes dans le monde, des pirates informatiques ou même des simples curieux peuvent télécharger ces listes qui contiennent nos adresses e-mail. mail et mot de passe et essayez de voir où ils travaillent.
Le succès de cette approche repose sur le fait que les gens réutilisent les mêmes informations d'identification sur plusieurs services.
Par coïncidence, la semaine dernière, j'ai écrit à propos des attaques contre les informations d'identification et comment elles ont amené de nombreuses personnes à croire que Spotify avait subi une violation de données. Dans cet article, j'ai incorporé une courte vidéo qui montre la facilité avec laquelle ces attaques sont automatisées et je veux l'inclure à nouveau ici:
Pour éviter les mauvaises surprises, afin de ne pas être victime d'un vol de mot de passe dû à des sites ou bases de données compromis rendus publics sur internet, deux stratégies sont à utiliser:
- Choisissez des mots de passe sûrs qui sont impossibles à découvrir, en utilisant des mécanismes mentaux qui nous permettent de les mémoriser (par exemple en combinant les initiales d'une phrase) et en utilisant des mots de passe différents pour chaque site Web ou compte.
- Utilisez un gestionnaire de mots de passe automatique, c'est-à-dire un programme qui génère des mots de passe aléatoires pour chaque compte Web afin que le seul mot de passe à retenir soit le principal.
Pour vérifier si votre adresse e-mail s'est retrouvée dans une liste de comptes avec des identifiants et des mots de passe volés par des pirates, il existe trois services en ligne gratuits qui ont catalogué les divers vols de données d'aujourd'hui et du passé, permettant à chacun de vérifier les deux. e-mail et mot de passe.
Haveibeenpwned.com, le site qui a découvert la plus grande liste de courriels volés de tous les temps, est l'un d'entre eux et il est vraiment facile à utiliser.
Sur la page principale, vous pouvez immédiatement vérifier vos adresses e-mail et voir si elles figurent dans les listes maintenant publiées et peuvent être utilisées par n'importe qui pour des tentatives de spam ou de piratage.
Par exemple, dans mon test, il s'est avéré que l'adresse e-mail que j'utilise le plus pour m'inscrire en ligne sur des sites Web est présente dans plusieurs de ces listes, y compris celle appelée Collection # 1, celle qui combine l'e-mail et le mot de passe découvert juste ces jours-ci de janvier 2019.
De plus, il a également été publié dans d'autres listes, dont celle extraite de Linkedin en 2016, de Tumblr en 2016, de MySpace en 2008 (puis publiée en 2016) et plusieurs autres.
Cela signifie que chaque compte dans lequel j'utilise cette adresse e-mail avec un mot de passe inchangé par rapport à il y a quelques années (ou il y a quelques mois) risque d'être volé.
Je suis donc obligé, pour tous les sites (disons les plus importants) où je suis inscrit avec cette adresse e-mail et auxquels je n'ai jamais changé mon mot de passe après la date indiquée par Haveibeenpwned, de changer mon mot de passe afin de me sentir à l'aise.
En parlant de mots de passe, cependant, ce n'est pas que je puisse en utiliser aucun.
En plus d'en choisir une difficile à découvrir, il est également nécessaire d'en utiliser une qui n'est pas présente dans les listes en ligne volées et publiées.
Dans Haveibeenpwned.com, appuyez en haut où le mot de passe est écrit pour vérifier votre mot de passe et voir s'il a été découvert, devenant ainsi inutile .
Un autre site où vous pouvez faire le même type de vérification des comptes violés, en entrant l'adresse e-mail utilisée ou même le nom d'utilisateur de connexion, est breachalarm.com .
Comme Haveibeenpwned, il a dans sa base de données des listes de comptes volés lors des différentes cyberattaques des dernières années et peut nous dire s'il a trouvé notre adresse.
Firefox Monitor est un service similaire fourni par Mozilla, qui nous indique si l'adresse e-mail utilisée pour se connecter à un ou plusieurs comptes Web a été impliquée dans le vol de données et risque ainsi d'être compromise.
Le service de contrôle de compte peut également être automatisé avec l'application Windows 10, Hacked .
Le dernier de ces jours est le plus grand vol de données jamais diffusé en ligne, avec même 773 millions d'e-mails et 21 millions de mots de passe piratés (cette différence dépend du fait que beaucoup utilisent le même mot de passe) et publiés, mis à la disposition de tous ceux qui veulent les essayer dans divers comptes Web ou bancaires.
Cela signifie que même si notre adresse e-mail que nous utilisons pour accéder à Facebook, Google ou la banque en ligne est incluse dans cette énorme liste et que nous n'avons jamais changé le mot de passe ces derniers temps, n'importe qui peut l'essayer et voler facilement notre compte. .
Comme d'habitude, il est toujours recommandé de changer immédiatement le mot de passe du compte qui peut avoir été compromis.
Mais le problème ne se termine pas aussi facilement.
LIRE AUSSI: Avis de changement de mot de passe s'il est compromis ou déjà utilisé dans Chrome
Le point avec ces vols de mots de passe est le suivant: si j'ai un compte avec Linkedin qui s'est retrouvé dans ces listes qui fonctionnent sur le web profond ou qui sont proposés à la vente par des pirates, si pour ce compte j'ai utilisé une adresse e-mail et un mot de passe qui Je l'utilise également pour d'autres comptes tels que ceux de Google, Facebook, Microsoft ou autres, alors ceux-ci sont également très à risque et leur mot de passe doit également être changé.
Nous avons parlé de ces dynamiques dans un article spécifique expliquant simplement "comment les mots de passe sont volés sur Internet".
Comme l'expliquent ceux qui ont découvert cette liste d'e-mails et de mots de passe volés, à savoir le responsable de la chasse à Troy du site Have I Been Pwned, des personnes malveillantes dans le monde, des pirates informatiques ou même des simples curieux peuvent télécharger ces listes qui contiennent nos adresses e-mail. mail et mot de passe et essayez de voir où ils travaillent.
Le succès de cette approche repose sur le fait que les gens réutilisent les mêmes informations d'identification sur plusieurs services.
Par coïncidence, la semaine dernière, j'ai écrit à propos des attaques contre les informations d'identification et comment elles ont amené de nombreuses personnes à croire que Spotify avait subi une violation de données. Dans cet article, j'ai incorporé une courte vidéo qui montre la facilité avec laquelle ces attaques sont automatisées et je veux l'inclure à nouveau ici:
Pour éviter les mauvaises surprises, afin de ne pas être victime d'un vol de mot de passe dû à des sites ou bases de données compromis rendus publics sur internet, deux stratégies sont à utiliser:
- Choisissez des mots de passe sûrs qui sont impossibles à découvrir, en utilisant des mécanismes mentaux qui nous permettent de les mémoriser (par exemple en combinant les initiales d'une phrase) et en utilisant des mots de passe différents pour chaque site Web ou compte.
- Utilisez un gestionnaire de mots de passe automatique, c'est-à-dire un programme qui génère des mots de passe aléatoires pour chaque compte Web afin que le seul mot de passe à retenir soit le principal.
Pour vérifier si votre adresse e-mail s'est retrouvée dans une liste de comptes avec des identifiants et des mots de passe volés par des pirates, il existe trois services en ligne gratuits qui ont catalogué les divers vols de données d'aujourd'hui et du passé, permettant à chacun de vérifier les deux. e-mail et mot de passe.
Haveibeenpwned.com, le site qui a découvert la plus grande liste de courriels volés de tous les temps, est l'un d'entre eux et il est vraiment facile à utiliser.
Sur la page principale, vous pouvez immédiatement vérifier vos adresses e-mail et voir si elles figurent dans les listes maintenant publiées et peuvent être utilisées par n'importe qui pour des tentatives de spam ou de piratage.
Par exemple, dans mon test, il s'est avéré que l'adresse e-mail que j'utilise le plus pour m'inscrire en ligne sur des sites Web est présente dans plusieurs de ces listes, y compris celle appelée Collection # 1, celle qui combine l'e-mail et le mot de passe découvert juste ces jours-ci de janvier 2019.
De plus, il a également été publié dans d'autres listes, dont celle extraite de Linkedin en 2016, de Tumblr en 2016, de MySpace en 2008 (puis publiée en 2016) et plusieurs autres.
Cela signifie que chaque compte dans lequel j'utilise cette adresse e-mail avec un mot de passe inchangé par rapport à il y a quelques années (ou il y a quelques mois) risque d'être volé.
Je suis donc obligé, pour tous les sites (disons les plus importants) où je suis inscrit avec cette adresse e-mail et auxquels je n'ai jamais changé mon mot de passe après la date indiquée par Haveibeenpwned, de changer mon mot de passe afin de me sentir à l'aise.
En parlant de mots de passe, cependant, ce n'est pas que je puisse en utiliser aucun.
En plus d'en choisir une difficile à découvrir, il est également nécessaire d'en utiliser une qui n'est pas présente dans les listes en ligne volées et publiées.
Dans Haveibeenpwned.com, appuyez en haut où le mot de passe est écrit pour vérifier votre mot de passe et voir s'il a été découvert, devenant ainsi inutile .
Un autre site où vous pouvez faire le même type de vérification des comptes violés, en entrant l'adresse e-mail utilisée ou même le nom d'utilisateur de connexion, est breachalarm.com .
Comme Haveibeenpwned, il a dans sa base de données des listes de comptes volés lors des différentes cyberattaques des dernières années et peut nous dire s'il a trouvé notre adresse.
Firefox Monitor est un service similaire fourni par Mozilla, qui nous indique si l'adresse e-mail utilisée pour se connecter à un ou plusieurs comptes Web a été impliquée dans le vol de données et risque ainsi d'être compromise.
Le service de contrôle de compte peut également être automatisé avec l'application Windows 10, Hacked .
