Microsoft a déployé la prise en charge des clés d’accès pour les comptes grand public. Les codes d’accès sont une méthode de connexion sans mot de passe conçue pour empêcher le piratage de compte en réduisant ou en éliminant l’utilisation de mots de passe. Au lieu de mots de passe, la reconnaissance faciale, la numérisation d’empreintes digitales ou les numéros PIN sont utilisés pour se connecter aux comptes.
Méthodes actuelles pour se protéger comptes en ligne
Les mots de passe des comptes en ligne nécessitent souvent une combinaison odieuse de lettres minuscules et majuscules, de chiffres et de symboles qui sont facilement oubliés et fastidieux à saisir, mais qui peuvent être volés par des pirates informatiques via le phishing, les logiciels malveillants et d’autres méthodes.
Une façon d’augmenter la sécurité du compte consiste à exiger des codes PIN textuels ainsi que des mots de passe. Bien que plus sécurisé qu’un mot de passe seul, les pirates peuvent toujours intercepter le code via le clonage illégal de la carte SIM https://theintercept.com/2020/09/25/surveillance-sim-cloning-protests-protect-phone /, échanges de cartes SIM, téléphone mobile le piratage informatique et le reniflage du réseau cellulaire pour cibler des personnalités comme le président. Cependant, la plupart des comptes protégés par un code PIN sont encore mieux protégés.
Une autre façon d’augmenter la sécurité du compte consiste à utiliser des appareils et des logiciels à deux facteurs (2FA) (comme celui d’Amazon) qui génèrent un code unique qui doit être saisi avec un mot de passe. Bien que le logiciel 2FA soit vulnérable aux logiciels malveillants et au clonage, le matériel 2FA est difficile à copier, ce qui le rend populaire pour sécuriser les comptes. Pourtant, les pirates ont également trouvé des moyens de contourner la sécurité 2FA.
Clés d’accès
Le problème des mots de passe oubliés existe dans les méthodes précédentes, c’est pourquoi les codes d’accès sont promus par de grandes entreprises telles que Apple, Google et Microsoft comme alternative au matériel 2FA. Pour la plupart des utilisateurs, les connexions par mot de passe sont généralement authentifiées par reconnaissance faciale, numérisation d’empreintes digitales ou saisie du code PIN sur le smartphone de la personne. Microsoft affirme que toutes les données biométriques restent sur l’appareil de l’utilisateur et ne lui sont jamais envoyées.
L’un des avantages du système de mot de passe est qu’une paire de clés cryptographiques est créée pour chaque compte en ligne, qui sont uniques. Une connexion pour un compte ne fonctionnera pas pour un autre. Les lecteurs qui souhaitent essayer le nouveau monde des connexions sans mot de passe peuvent en savoir plus sur la configuration de mots de passe pour les comptes grand public chez Microsoft, Apple et Google.
Les lecteurs qui ne souhaitent pas utiliser de mots de passe peuvent toujours utiliser des codes PIN ou des appareils matériels 2FA comme celui d’Amazon (n’oubliez pas d’acheter une sauvegarde supplémentaire).
Problèmes Potentiels de clé d’accès
Les clés d’accès introduisent des problèmes et des vulnérabilités potentiels. Le premier est l’absence de deux informations de connexion différentes : seul le téléphone ou l’appareil 2FA est requis, de sorte que les appareils volés ont la pleine capacité de se connecter à tous les comptes. Les enfants savent jeter un coup d’œil par-dessus votre épaule pour voler un code PIN, et des pirates informatiques ont violé la reconnaissance faciale de Microsoft https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or -chirurgie esthétique et vérification préalable des empreintes digitales. De plus, de nombreux comptes protégés par mot de passe restent vulnérables car les mots de passe sont utilisés comme méthode de récupération. Plus important encore, si vos données biométriques, telles que votre empreinte digitale, sont clonées, vous ne pourrez pas les modifier à moins de subir une intervention chirurgicale. Les pirates pourront donc usurper votre identité tant que vous utilisez toujours la même empreinte digitale. pour authentifier.
La perte d’accès aux bases de données de clés constitue également un problème majeur. Si les mots de passe sont complètement supprimés, la perte de la base de données de mots de passe sans méthode sécurisée de récupération de compte peut verrouiller instantanément et pour toujours les utilisateurs de leurs comptes, comme de nombreux détenteurs de Bitcoin l’ont vécu après avoir perdu leur smartphone. Le problème reste si important que même l’auteur de webauthn-rs n’est pas convaincu, tout comme de nombreux utilisateurs qui ont signalé que leurs mots de passe avaient été détruits par erreur par Apple et d’autres sociétés. De plus, la NSA sait que la cryptographie non quantique actuelle est en danger, les utilisateurs intelligents doivent donc se méfier des sauvegardes dans le cloud des clés d’accès.
Stratégies sécurisées de mot de passe et de compte
Les gestionnaires de mots de passe comme 1password et LastPass ont été piratés à plusieurs reprises, donc même permettre aux navigateurs Web de mémoriser vos secrets peut être une mauvaise idée, car un piratage réussi peut compromettre tous les comptes. Utilisez plutôt une stratégie de création de mot de passe dont vous vous souviendrez facilement. Par exemple, phrase longue préférée + “initiale du nom du site” + numéro + “symbole”.
Une autre bonne stratégie consiste à isoler et à diviser. Par exemple, utilisez un compte de messagerie uniquement pour vos finances et un autre pour la correspondance régulière, avec des mots de passe différents. Les ordinateurs portables sont suffisamment bon marché (comme celui-ci sur Amazon) pour que vous puissiez en acheter un juste pour des raisons financières.
Étant donné que les échanges de cartes SIM constituent une menace pour tous les utilisateurs qui sécurisent des comptes à l’aide de leur téléphone, lisez comment sécuriser votre carte SIM pour les utilisateurs de T-Mobile, Verizon ou AT&T.
