Apple

Protégez votre identité en ligne maintenant: combattez les pirates informatiques avec ces 5 mesures de sécurité

Par Maximus , le 19 juin 2019 - 12 minutes de lecture

Ce qui est arrivé à mon collègue de ZDNet, Matthew Miller, ce mois-ci, c’est de quoi sont faits les cauchemars. Le titre dit à peu près tout: "Histoire d'horreur sur carte SIM: j'ai perdu des décennies de données et Google ne lève pas le doigt."

Dans le cas de Matthew, les pirates informatiques ont pu convaincre T-Mobile de lui délivrer une carte SIM de remplacement leur donnant accès à son numéro de téléphone principal. Cela leur a ensuite permis de réinitialiser les mots de passe de son compte Gmail, ce qui leur a pratiquement permis d'accéder sans entrave à toute son identité. Ils ont ensuite procédé à la fermeture de son compte Twitter, à la suppression de tout ce qui était associé à son compte Google et même à l'accès à ses comptes bancaires en ligne.

En lisant le récit de Matthew, un incident similaire survenu à Mat Honan en 2012 me revenait en mémoire. Honan, qui est maintenant chef du bureau de Buzzfeed à San Francisco, a relaté son expérience atroce de l'époque dans un article mémorable de Wired: "How Apple and Les failles de sécurité d'Amazon ont mené à mon piratage épique. "

La leçon à tirer de ces deux expériences horribles est que votre numéro de téléphone principal et votre adresse électronique principale sont beaucoup plus précieux que vous ne le pensez. Alors que nous dépendons de plus en plus des services en ligne, ces deux points de données constituent un moyen extrêmement courant d’authentification.

Si l'un ou l'autre est compromis, un attaquant peut faire de mauvaises choses. Et si ces deux facteurs sont liés de manière trop étroite, le jeu est terminé pour votre identité en ligne.

Vous n'êtes pas obligé d'être la prochaine victime. Avec un petit effort (et, oui, une petite dépense), vous pouvez sécuriser la sécurité de services en ligne cruciaux. Suivez ces cinq directives et vous pouvez rendre la vie extrêmement difficile pour un voleur d'identité en devenir.

Contenus

1. Renforcez la sécurité de votre compte mobile

Les astuces d’échange de la carte SIM fonctionnent, car les pirates peuvent en savoir assez sur vous pour que les ingénieurs sociaux fassent leur chemin à travers les contrôles de sécurité habituels qui empêchent votre compte d’être compromis.

Par conséquent, votre première ligne de défense consiste à informer votre opérateur de téléphonie mobile que vous souhaitez qu'ils soient extrêmement prudents, même paranoïaques, à propos de la sécurité de votre compte.

Chaque fournisseur de service mobile américain a la possibilité d’ajouter un code PIN ou un mot de passe de sécurité distinct à votre compte. Fais le. (Ceci est différent d'un mot de passe / code PIN de la carte SIM, qui empêche votre carte SIM physique d'être retirée et activée automatiquement sur un autre appareil.)

Enfin, demandez à votre opérateur de téléphonie mobile s’il existe un moyen de renforcer la sécurité de votre compte afin d’empêcher le transfert de numéro non autorisé ou l’échange de la carte SIM. Le scénario le plus gênant est que vous deviez vous présenter personnellement à un bureau local, avec une photo d’identité, pour pouvoir récupérer à partir d’un appareil endommagé.

Je ne suis pas surpris que cela soit arrivé à un compte T-Mobile non plus. Cet article extrêmement complet de Reddit, "Comment protéger votre compte T-Mobile contre les pirates informatiques", affirme que les clients de T-Mobile sont affectés de manière disproportionnée par l'échange de cartes SIM. Si vous êtes un client T-Mobile, cela vaut la peine d'être lu.

2. Ne faites pas confiance à votre email important pour un service gratuit destiné aux consommateurs

Google et Microsoft sont les deux plus importants fournisseurs de courrier électronique au monde, avec des abonnements grand public et professionnels. Les deux types de produits sont superficiellement similaires, il est donc facile de configurer un compte gratuit Gmail ou Outlook.com et d'économiser de l'argent, n'est-ce pas? Je veux dire, qu'est-ce que vous obtenez vraiment avec le compte professionnel payant?

Comme Miller l'a découvert, la différence essentielle réside dans l'accès facile au support.

Avec un compte Gmail ou Outlook.com gratuit, vous n’avez pratiquement aucune option d’aide, si ce n’est pour remplir un formulaire en ligne et prier pour que quelqu'un le gère. (Et non, le fait de payer pour les mises à niveau de stockage ne signifie pas que vous avez un compte professionnel.)

Tu mérites vraiment mieux. Alors ouvrez votre portefeuille et payez pour un compte professionnel.

Un compte G Suite Basic coûte 6 USD par mois et ressemble exactement au produit gratuit Gmail. Toutefois, comme l'indique la page de support de Google Suite G Suite, "votre abonnement payant à G Suite inclut une assistance 24h / 24 et 7j / 7"

L'abonnement Office 365 Business Essentials de Microsoft, qui comprend une boîte aux lettres de 50 Go, une adresse de domaine de messagerie personnalisée et 1 To de stockage en nuage OneDrive Entreprise, constitue une offre encore meilleure à 5 $ par mois. Vous pouvez également obtenir ces services dans le cadre d'un abonnement Office 365 Professionnel Premium à 12,50 USD par mois, ce qui inclut les applications Office pour 5 PC ou Mac sous Windows et cinq tablettes.

Pour tous les plans Office 365, l'assistance téléphonique pour les problèmes critiques (catégorie comprenant les "événements qui vous empêchent d'accéder à ou d'utiliser vos services ou vos données", ce qui semble être le cas ici) est disponible 24h / 24, avec une réponse d'une heure. engagement de temps.

Oh, et encore une étape cruciale? Un scélérat qui parvient à déchiffrer votre compte de messagerie professionnel n'a pas accès à votre console d'administration; ils pourraient peut-être changer votre mot de passe, mais ils ne peuvent pas supprimer votre compte. En fait, en utilisant ces outils d’administration, vous pouvez verrouiller immédiatement un compte compromis, afin d’éviter tout dommage supplémentaire.

3. Ne sauvegardez pas les mots de passe dans votre navigateur

Je suis convaincu que l’utilisation d’un gestionnaire de mots de passe tiers est l’une des précautions de sécurité les plus précieuses que vous puissiez prendre. Avoir un mot de passe unique, impossible à deviner, pour chaque service utilisé est un excellent moyen de prévenir les attaques les plus courantes. (Pour des conseils plus spécifiques, voir "Mot de passe oublié? Cinq raisons pour lesquelles vous avez besoin d'un gestionnaire de mot de passe.")

Mais toute cette sécurité disparaît rapidement si ces mots de passe sont stockés avec votre compte Google ou Microsoft et peuvent être déverrouillés par quiconque compromettant ce compte. C'est ce qui est arrivé à Miller. Lorsque les pirates informatiques ont compromis son compte Google, ils ont eu accès à tous ses mots de passe, y compris à un compte bancaire qui leur permettait d’acheter pour 25 000 $ de Bitcoin. (Heureusement, les vérifications de fraude de sa banque ont empêché la transaction ACH de passer.)

Ce cauchemar n'est pas possible avec un gestionnaire de mot de passe tiers bien conçu. Mon utilitaire de choix, 1Password, nécessite une clé de sécurité unique en plus d'un nom d'utilisateur et d'un mot de passe avant de permettre l'accès aux mots de passe sur un nouveau périphérique. Même si un pirate informatique réussissait à voler mes identifiants de connexion 1Password, il n'aurait pas ma clé de sécurité privée, une chaîne alphanumérique de 32 caractères qui est stockée sur un morceau de papier dans un classeur verrouillé dans mon bureau et sur une carte dans mon portefeuille. . Pas de clé de sécurité, pas de mots de passe.

Si vous avez des mots de passe enregistrés dans Google Chrome, Internet Explorer, Mozilla Firefox ou Microsoft Edge, supprimez-les une fois que vous avez configuré un gestionnaire de mot de passe tiers. (Chaque navigateur a la possibilité d'exporter les mots de passe enregistrés avant de passer à cette étape irrévocable. Cette option pourrait être utile si vous sauvegardez les informations d'identification exportées dans un endroit sûr, indépendant de votre stockage en nuage.)

Dans Chrome (ou dans le navigateur Edge basé sur Chromium), appuyez sur Ctrl + Maj + Suppr pour ouvrir la boîte de dialogue Effacer les données de navigation. Cliquez sur l'onglet Avancé, choisissez Toute l'heure pour la plage de temps, sélectionnez l'option Mots de passe et autres données de connexion, puis cliquez sur Effacer les données.
Dans Microsoft Edge, appuyez sur Alt + X pour ouvrir le menu Paramètres, etc., puis cliquez sur Paramètres. Sélectionnez l'onglet Confidentialité et sécurité, puis cliquez sur Effacer les données de navigation. Sélectionnez Mots de passe, puis cliquez sur Effacer.
Contrairement à ses concurrents, Firefox inclut une option permettant de protéger vos mots de passe enregistrés avec un mot de passe principal unique, indépendant de votre compte Mozilla. Cela pourrait rendre cette option acceptable pour vous, mais si vous n'êtes pas à l'aise et que vous souhaitez supprimer tous les mots de passe enregistrés, cliquez sur le bouton de menu, sur Connexions et mots de passe, puis sur Supprimer tout.

Bien sûr, vous voulez vous assurer que les applications tierces de gestion de mots de passe que vous avez choisies ne pourront pas être compromises par une personne ayant accès à votre compte mobile ou à votre courrier électronique. C'est peu pratique pour vous, sans doute, mais une précaution absolument essentielle.

4. Déconnectez votre numéro de téléphone des scénarios d'authentification cruciaux

La permutation de cartes SIM a un impact si dévastateur sur votre identité, car votre téléphone est généralement le premier appareil qu'un service utilisera pour vous aider à réinitialiser votre mot de passe.

Autant que possible, supprimez la possibilité d'utiliser ce téléphone comme preuve d'identité et utilisez une application d'authentification ou un code enregistré que vous avez généré précédemment. Cette stratégie vous oblige à utiliser un périphérique de confiance en tant qu'authentificateur. Un pirate informatique qui possède un numéro de téléphone échangé sur la carte SIM ou un mot de passe de messagerie électronique ne dispose pas d'un appareil fiable et est donc verrouillé.

Dans la console d’administration de G Suite, accédez à Paramètres de sécurité avancés, activez la vérification en deux étapes, puis, sous Méthodes de vérification en deux étapes autorisées, choisissez Tout sauf les codes de vérification via texte, appel téléphonique.

Pour un abonnement Office 365 Professionnel ou Entreprise, accédez à la page Vérification de la sécurité supplémentaire (https://account.activedirectory.windowsazure.com/Proofup.aspx) et supprimez votre téléphone principal en tant que méthode d'authentification.

Dans les deux services, vous pouvez et devez configurer Google Authenticator ou Microsoft Authenticator sur au moins un, et de préférence deux ou plusieurs appareils fiables.

Pour les services en ligne nécessitant une authentification par SMS, envisagez d'utiliser un numéro Google Voice (ou une autre option SMS) associé à un compte de messagerie totalement distinct de votre adresse principale. J'utilise cette technique et je peux recevoir des codes SMS dans l'application Google Voice sur mes principaux appareils. ces codes ne seraient pas disponibles pour un voleur d'identité même s'il avait volé mon numéro de téléphone principal.

5. Sauvegarde, sauvegarde, sauvegarde (et synchronisation, synchronisation, synchronisation)

L’histoire la plus déchirante de l’histoire de Matthew est probablement la possibilité qu’il perde non seulement des déclarations de revenus et d’autres documents importants stockés dans Google Drive, mais aussi "des milliers de photos qui risquent d'être perdues à jamais si Google ne parvient pas à obtenir mes données." compte de retour. "

La partie la plus importante de toute stratégie de sauvegarde consiste à garantir qu’un point de défaillance unique ne vous empêche pas de perdre des données. Un service en nuage est un excellent moyen d’empêcher tout incendie ou inondation de détruire vos copies locales, mais une erreur humaine ou une erreur de configuration (ou l’oubli du paiement de la cotisation annuelle) peut entraîner la disparition de tout ou partie de ces fichiers.

Enregistrez les éléments très importants, tels que les photos de famille, dans au moins deux emplacements de cloud: iCloud et OneDrive, par exemple. Et oui, conservez une sauvegarde locale de ces fichiers, au cas où.

Lire la suite

Click to rate this post!

[Total: 0 Average: 0]

Maximus

Voir les publications de l'auteur

Commentaires

Laisser un commentaire

Ce secret des étiquettes Gmail va changer votre façon de penser de votre boîte de réception

Meilleures offres iPhone au Canada

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.