Comme si les récentes alertes de ransomware n'étaient pas suffisantes pour vous empêcher de dormir, les violations de mot de passe continuent de faire l'actualité.

En mai, par exemple, le centre de recherche sur la sécurité MacKeeper a signalé qu'une vaste base de données de mots de passe volés avait fait surface en ligne. Et s'il était composé en grande partie de mots de passe de sources variées, dont beaucoup datent de nombreuses années, sa nouvelle accessibilité - et son agglomération en une seule collection - est un sujet de préoccupation.

C'est aussi une cause d'action. Bien que la "sécurité en ligne" ressemble de plus en plus à un oxymore de nos jours, vous pouvez quand même prendre des mesures pour vous protéger lorsque de telles violations se produisent. Tout commence par la suppression de ces mots de passe trop utilisés et mal conçus que vous savez terribles, mais que vous utilisez quand même.

Améliorez vos mots de passe

Le mot de passe le plus sécurisé au monde est inutile si un pirate le vole, mais il devient beaucoup moins utile s'il ne s'agit pas du même mot de passe que vous utilisez pour chaque connexion.

En d'autres termes, il est essentiel que vous utilisiez un mot de passe différent partout où vous conduisez des affaires en ligne. Et le seul moyen efficace de le faire consiste à utiliser un gestionnaire de mots de passe, capable de générer et de gérer des mots de passe uniques et robustes pour tous vos sites et services.

Bien sûr, même les gestionnaires de mots de passe ne sont pas infaillibles, comme l'ont récemment découvert les utilisateurs de LastPass. C'est pourquoi vous devez changer les mots de passe régulièrement - une tâche potentiellement ardue à moins que votre gestionnaire de mots de passe ne puisse l'exécuter automatiquement. Dashlane et LastPass sont parmi la poignée offrant cette fonctionnalité pratique.

Découvrez si vous êtes compromis

La base de données susmentionnée contient environ 560 millions de mots de passe. Vous voulez savoir si les vôtres sont là quelque part? Rendez-vous sur Have I Was Pwned, qui vérifie si votre adresse e-mail apparaît dans une base de données compromise.

Si tel est le cas, ne paniquez pas: rappelez-vous que bon nombre des sources de cette base de données ont plusieurs années. Par exemple, l'une de mes adresses e-mail a bien été "pwned", mais c'était dans la violation de Dropbox de 2012 - et j'ai depuis longtemps changé mon mot de passe là-bas.

Bien sûr, il ne serait certainement pas nuisible de changer le mot de passe sur les sites détectés ici. ( Astuce : cliquez sur M'avertir quand je serai invité pour que vous puissiez être informé si et quand votre email apparaît dans la prochaine violation.)

Ce site a récemment ajouté un autre outil pour assurer votre sécurité: un moteur de recherche basé sur une base de données de plus de 300 millions de mots de passe compromis. Ainsi, plutôt que de rechercher votre adresse e-mail ou votre nom d'utilisateur, vous pouvez rechercher un mot de passe. Bien sûr, Troy Hunt, expert en sécurité, qui exploite le site Pwned, recommande de ne pas utiliser son outil (ni aucun autre) pour vérifier les mots de passe que vous utilisez activement. C'est plutôt un moyen de contrôler tout nouveau mot de passe que vous pourriez employer, comme vous pouvez le voir s'il a déjà été compromis.

Activer la vérification en deux étapes

En l’absence d’un lecteur d’empreintes digitales, la vérification en deux étapes (ou autorisation en deux étapes) peut constituer le meilleur moyen de protéger les comptes en ligne. Le plus souvent, la deuxième des deux étapes (la première consiste à entrer votre mot de passe) consiste à entrer un code fourni à la demande sur votre téléphone. Même si un pirate informatique a votre mot de passe, il n'a pas votre téléphone et ne devrait donc pas pouvoir contourner cette deuxième étape.

Bien entendu, pour cela, vous devez avoir votre téléphone à portée de main et pouvoir recevoir des messages texte (ou, si vous utilisez une application d'autorisation, une connectivité de données). C'est aussi un problème supplémentaire.

Voulez-vous en savoir plus? Lisez l'authentification à deux facteurs de Matt Elliott: comment et pourquoi l'utiliser. Passez ensuite à la mise à jour la plus récente de Matt, dans laquelle il déconseille d'utiliser SMS pour cela. (Un pari bien plus sûr: "Une application d'authentification telle que Google Authenticator, Microsoft Authenticator ou Authy.")

Supprimer les anciens comptes

Tu te souviens d'AOL? Vous avez peut-être eu un compte à la fois, mais vous ne l'avez pas touché depuis des mois, voire des années. S'il est toujours actif et qu'un pirate informatique réussit à s'introduire, vous courez toujours un risque considérable. Vous y avez peut-être toutes sortes d'informations personnelles stockées, sans parler des photos et autres supports qui devraient rester confidentiels.

Prenez donc le temps de supprimer vos anciens comptes inutilisés. C’est une autre façon pour un gestionnaire de mots de passe d’être utile: lorsqu’il importe pour la première fois tous vos mots de passe, vous pouvez voir la liste complète de tous les comptes que vous avez. Ensuite, il vous suffit de les parcourir et de déterminer ceux que vous souhaitez désactiver.

Hélas, vous devrez visiter chaque site manuellement et déterminer comment supprimer votre compte. Pour obtenir de l'aide, consultez JustDelete.me, qui fournit des liens directs vers les pages d'annulation de centaines de services.

Note de l' éditeur : Cet article a été publié le 16 mai 2017 à la suite de la publication de la base de données de mots de passe susmentionnée. Il a depuis été mis à jour avec des conseils supplémentaires sur la recherche de mots de passe compromis.