Dans la bataille pour protéger nos données, les mots de passe sont la première ligne de défense. Malheureusement, les mots de passe sont difficiles à gérer.

On nous dit de ne pas utiliser les mêmes mots de passe encore et encore, et nous déconseillons d’utiliser ceux qui sont faciles à deviner, mais les mots de passe compliqués que les sites Web et les responsables informatiques préfèrent - et exigent souvent - sont difficiles à retenir. De nombreuses personnes continuent à utiliser des mots de passe trop simples: l'analyse de 32 millions de mots de passe violés par Help Net Security a révélé que près de la moitié étaient trivialement faciles à deviner.

• Les mots de passe sont-ils notre meilleure option de sécurité?

• Protégez vos données en suivant les commandes de mot de passe

Les gestionnaires de mots de passe intégrés aux navigateurs et les plug-ins de mot de passe principal tels que LastPass et RoboForm de Siber Systems vous permettent de vous connecter à de nombreux réseaux et sites Web avec un seul mot de passe fort. Toutefois, les programmes exigent que vous stockiez vos mots de passe de manière centralisée. référentiel en ligne. Même si le référentiel est sécurisé, il ajoute un autre point d'accès potentiel pour les pirates.

(Dans le blog de CNET Security, Lance Whitney décrit la récente violation de données chez LastPass, qui semble avoir été rapidement maîtrisée par la société.)

Les systèmes d'authentification à deux facteurs traditionnels nécessitent l'activation d'un jeton matériel distinct que vous connectez au PC - comme si nous n'avions pas déjà trop d'appareils à surveiller dans notre vie numérique. Google et Facebook vous permettent maintenant d'utiliser votre téléphone mobile en tant que périphérique d'authentification.

La vérification complexe en deux étapes de Google

La sécurisation de mon compte Google avec le processus de vérification en deux étapes du service a pris environ 30 minutes, voire plusieurs autres étapes. Ouvrez les paramètres de votre compte et cliquez sur "Utilisation de la vérification en deux étapes" sous Sécurité dans vos paramètres personnels. Choisissez le bouton "Configurer la vérification en deux étapes" dans la boîte de dialogue résultante pour sélectionner la méthode que vous utiliserez pour recevoir les codes de vérification.

Après avoir vérifié le numéro de téléphone que vous avez sélectionné, vous pouvez choisir une méthode de sauvegarde. Le service générera une série de codes de sauvegarde que vous êtes invité à imprimer et à utiliser lorsque le téléphone que vous avez enregistré n'est pas disponible. Une fois que vous avez confirmé que vous avez imprimé les codes de sauvegarde, vous êtes invité à enregistrer un téléphone de secours.

Si vous utilisez des applications liées à votre compte Google mais ne prenant pas en charge l'autorisation en deux étapes, vous êtes invité à créer des mots de passe spécifiquement pour les applications que vous devrez entrer une seule fois. Une fois cette étape terminée, vous êtes invité à vérifier les paramètres et à activer le service, qui vous déconnecte de votre compte sur tous les appareils.

Lorsque vous vous reconnectez à votre compte, vous êtes invité à entrer le code de vérification qui a été envoyé au numéro que vous avez spécifié, par message texte ou par un appel vocal. J'ai reçu le code par SMS sur mon numéro Google Voice en quelques secondes à peine. Vous pouvez choisir l'option de garder l'autorisation active pendant les 30 prochains jours.

Pour revoir vos paramètres d'autorisation ou désactiver la fonctionnalité, revenez aux paramètres de votre compte, cliquez sur "Utilisation de la vérification en deux étapes" et apportez les modifications requises.

L'approche plus simple de Facebook pour les mots de passe à usage unique

Après avoir sauté dans cette longue succession d'objectifs pour protéger mon compte Google, j'ai trouvé l'approche de Facebook consistant à sécuriser les connexions sécurisées, même si elle fonctionne uniquement aux États-Unis. Votre première option consiste à envoyer un mot de passe "otp" à 32665 pour recevoir un mot de passe temporaire. sur le téléphone portable associé à votre compte Facebook. Le mot de passe ne fonctionne qu'une fois et expire après 20 minutes.

Vous pouvez également empêcher l'accès à votre compte à partir d'ordinateurs et de périphériques non autorisés. Commencez par ouvrir Paramètres du compte dans le menu déroulant Compte et en choisissant Sécurité du compte. Cochez l'option sous Approbations de connexion et cliquez sur Enregistrer.

D'autres options de sécurité du compte vous permettent d'activer la navigation sécurisée (https), de recevoir un SMS ou un courrier électronique chaque fois qu'un ordinateur ou un périphérique non reconnu tente d'accéder à votre compte, de consulter l'activité récente de votre compte et de vous déconnecter des comptes actifs à distance.

Limitations de l'autorisation à deux facteurs sur mobile

Aucune technique de sécurité des données n’est efficace à 100%. L'utilisation d'un téléphone mobile dans le cadre du processus d'autorisation à deux facteurs vous rend vulnérable aux attaques de type «homme du milieu», lorsqu'un méchant vous redirige vers un site frauduleux qui ressemble à la réalité et transmet vos informations d'identification de connexion à le site légitime.

Cette information est utilisée pour envoyer le code d'autorisation du site réel. Une fois que le code est capturé, le méchant a un accès illimité à votre compte. Le seul moyen d'empêcher une telle attaque consiste à utiliser une protection à jour contre les logiciels malveillants et à détecter les virus. Garder les doigts croisés ne pouvait pas faire de mal, même si cela ralentirait votre frappe.