Quelles méthodes une page Web utilise pour stocker les mots de passe

mots de passe sont la principale barrière défensive que nous avons pour empêcher les intrus sur nos comptes. Nous les utilisons dans les réseaux sociaux, pour accéder aux appareils, aux forums dans lesquels nous nous inscrivons, aux programmes… Maintenant, comment les pages web protègent-elles ces clés pour qu'elles soient en sécurité ? Tous les sites sont-ils identiques ou pouvons-nous avoir des problèmes ? Nous allons en parler dans cet article.

Quelles options un site Web a-t-il pour enregistrer les clés

méthodes utilisées par une page Web pour stocker les mots de passe

Chaque fois que nous nous inscrivons sur une plateforme Internet, quelle qu'elle soit, nous lui ferons confiance. Par exemple, si nous créons un compte sur Facebook or Twitter, nous ajoutons un mot de passe lié à l'utilisateur. De même si nous nous inscrivons dans un forum ou tout autre service sur Internet.

Dans le cas où ce site ou cette plate-forme a un problème de sécurité , nos comptes pourraient être en danger. Par exemple, s'il existe une vulnérabilité et qu'un attaquant parvient à l'exploiter pour accéder au contenu. C'est à ce moment-là que ces mots de passe pourraient fuir et se retrouver entre de mauvaises mains.

Les pages Web vont donc devoir stocker ces clés d'une manière ou d'une autre pour qu'ils ne soient accessibles à personne. Mais bien sûr, tous ne le font pas de la même manière. Nous avons vu de nombreuses fuites qui ont fait que des mots de passe se sont retrouvés sur le Dark Web et même sur des comptes de réseaux sociaux, Netflix ou tout autre service sont à vendre.

Texte d'avion

C'est la pire option de toutes, logiquement. Cependant, il existe encore des sites Web qui stockent des informations et des mots de passe dans texte brut . Qu'est-ce que ça veut dire? Cela signifie essentiellement que si un intrus parvient à accéder à une base de données, tout ce qu'elle contient est disponible sans aucun type de cryptage.

Dans ce cas, le site Web qui stocke les mots de passe n'utilisera pas n'importe quel algorithme pour les protéger. Disons que nous nous inscrivons dans un forum pour rechercher des informations sur quelque chose de spécifique. Nous créons un compte et mettons un mot de passe qui est très bon et qui a tout le nécessaire pour qu'il ne soit pas découvert. Ce site Web souffre d'une faille de sécurité et un groupe de pirates informatiques parvient à accéder à la base de données où les clés sont stockées. Ils pourraient avoir accès à tous sans problème.

Cela est possible car ces mots de passe n'ont été stockés avec aucun type de cryptage ou d'algorithme pour les protéger. Fondamentalement, c'est comme si nous créions un fichier texte sur notre ordinateur et y écrivions les mots de passe. Si quelqu'un a accès à l'ordinateur et ouvre ce fichier, il verra tout le contenu sans problème majeur.

Y a-t-il quelque chose pour nous avertir qu'un site stocke les mots de passe en clair ? Nous pouvons le voir si nous recevons le mot de passe par e-mail. C'est quelque chose que nous pouvons voir lorsque nous nous inscrivons sur n'importe quel site et recevons plus tard un email avec les données. Là, nous verrions le nom d'utilisateur et le mot de passe tels que nous les avons créés.

Filtration de contrastes

Chiffrement

Maintenant, la chose normale aujourd'hui est que lors de l'inscription sur des pages Web, ils utilisent cryptage pour protéger codes d'accès. Ce qu'ils font, c'est encoder les informations et les rendre totalement illisibles. Cela sera possible car ils génèrent deux clés : l'une est le mot de passe que nous utilisons avec les données que nous avons générées et l'autre est la clé du site lui-même.

Si nous mettons le même exemple précédent dans lequel un site Web présente une vulnérabilité et est attaqué, dans ce cas, les mots de passe seraient cryptés et ne seraient pas lisibles pour ces intrus. Maintenant, ce n'est pas quelque chose de totalement infaillible.

Mais bien entendu, pour que ce cryptage soit efficace, une clé primaire est nécessaire. C'est la même chose que si nous créions un fichier crypté avec du contenu à l'intérieur ou que nous utilisions un gestionnaire de clés où nous allons enregistrer nos mots de passe. Dans ces cas, il est nécessaire d'avoir une clé principale ou primaire pour accéder au contenu.

C'est précisément ce mot de passe que les pirates ciblent. S'ils y accèdent, ils peuvent entrer pour voir tous les autres. Par conséquent, nos mots de passe vont dépendre dans une large mesure de cette clé primaire.

Fonction de hachage

Hachage ou hachage Les fonctions sont également une méthode pour sécuriser les mots de passe sur une page Web. Il est considéré comme le moyen le plus fiable et le plus sûr de le faire. En quoi cela consiste? Il convertit nos mots de passe. Lorsque nous créons une clé, elle la transforme automatiquement en une clé différente et complexe grâce à cette fonction de hachage.

Lorsque nous nous connectons, ce site Web exécute la fonction de hachage pour reconnaître la clé. Cependant, si un attaquant parvient à accéder à la base de données où sont stockés les mots de passe, il lui serait très difficile de rétablir cette fonction. Je ne saurais pas quelle est la clé.

Mais bien sûr, nous ne sommes pas confrontés à quelque chose de fiable à 100%. Cette fonction de hachage sera la même chaque fois que nous mettrons un mot de passe. Les pirates peuvent s'arranger pour créer des tables de hachage et cassez les valeurs pour accéder aux clés. C'est quelque chose de très compliqué, mais nous ne serions pas confrontés à une sécurité totale.

Ce qu'il faut prendre en compte pour savoir si un site Web garde les clés en sécurité

Après avoir expliqué les différentes méthodes qu'ils peuvent utiliser pour stocker les clés, qui sont essentiellement du texte brut (le pire de tous), du cryptage ou du hachage, comment pouvons-nous savoir si nous nous inscrivons à une page qui stocke bien les mots de passe ?

Un signal important est celui que nous avons mentionné concernant comment ils nous envoient le mot de passe par mail. Si lors de notre inscription, ils nous envoient un mot de passe tel que nous l'avons écrit, cela signifie qu'ils le stockeront en clair et qu'il n'y a donc pas de réelle sécurité.

D'un autre côté, un signal intéressant qui nous montre que la clé est correctement stockée est lorsque nous donnons le Mot de passe à retenir et ce site ne renvoie pas la clé que nous avons créée précédemment. Au lieu de cela, vous allez nous envoyer un mot de passe temporaire.

Aussi, il est important de voir que la page sur laquelle nous nous inscrivons est cryptée. Nous le saurons s'il a un certificat SSL et l'URL commence par HTTPS et non HTTP. C'est une garantie que même si cela ne signifie pas qu'il est sûr dans tous les cas, cela exclut les sites non fiables.

Sécurité sur une page Web cifrada

Comment éviter les problèmes de mot de passe sur Internet

Que pouvons-nous faire pour éviter les problèmes avec nos mots de passe sur Internet ? Nous allons donner quelques conseils essentiels pour cela. Une visite des choses les plus importantes à garder à l'esprit pour s'inscrire en toute sécurité sur n'importe quelle plate-forme ou service.

Créer des clés fortes

Le premier conseil de sécurité est de créer des mots de passe vraiment forts . Comment pouvons-nous le faire? Ces touches doivent contenir des lettres (majuscules et minuscules), des chiffres et d'autres symboles spéciaux. Tout cela au hasard et ont une bonne longueur.

Cela rendra difficile pour les pirates de casser ces mots de passe par le biais d'attaques par force brute. Vous n'avez jamais à mettre des choses comme notre nom, numéro de portable, etc.

Utilisez toujours des mots de passe uniques

Bien sûr, ces mots de passe doivent être unique . Nous ne devons pas les utiliser à plusieurs endroits en même temps. Si, par exemple, nous avons un mot de passe pour Facebook et que nous l'utilisons dans un forum où nous nous sommes inscrits et que ce forum a subi une attaque, ce qu'on appelle un effet domino se produirait et ils pourraient accéder au compte du réseau social.

Par conséquent, il est essentiel que nous ne répétions pas les mots de passe. Nous devons toujours en créer un unique pour chaque enregistrement, chaque programme ou site Web.

Utiliser le gestionnaire de mots de passe

Et comment pouvons-nous réaliser tout cela? Une bonne idée est d'utiliser un gestionnaire de clés . Il nous permettra de générer des mots de passe forts et complexes, en plus de les stocker en toute sécurité. Nous avons de nombreuses options, telles que LastPass, KeePass ou Dashlane.

Ces programmes sont disponibles pour ordinateur et mobile. Nous pouvons même synchroniser les mots de passe en ligne et les avoir disponibles n'importe où.

En bref, voici quelques questions importantes à considérer sur la façon dont les pages Web stockent nos mots de passe. Maintenant, au-delà de cela, nous devons également créer les clés en toute sécurité et éviter les problèmes.