Un bref guide des principes de base de la cybersécurité

Lundi dernier, j'ai reçu un e-mail de Spotify disant que quelqu'un au Brésil s'était connecté à mon compte.

"Avertissement

J'ai vérifié. Effectivement: un inconnu utilisait mon Spotify pour écouter Michael Jackson. J'ai dit à Spotify de "me déconnecter partout" – mais je n'ai pas changé mon mot de passe.

Mercredi, c'est encore arrivé. À 2 heures du matin, j'ai reçu un autre e-mail de Spotify. Cette fois, mon ami brésilien sournois écoutait Prince. Et ils ont apparemment aimé l'apparence de l'une de mes listes de lecture ("Funk Is Its Own Reward"), parce qu'ils avaient aussi écouté ça.

"Mon

Je me suis déconnecté de nouveau partout et cette fois que j'ai changé mon mot de passe. Et j'ai pris une résolution.

Vous voyez, j'ai mal fait de mettre en œuvre des mesures de sécurité en ligne modernes. Oui, mes comptes financiers critiques sont verrouillés avec une authentification à deux facteurs, etc., mais la plupart du temps je suis bâclé en matière de cybersécurité.

Par exemple, je réutilise des mots de passe. J'utilise toujours des mots de passe de Il y a trente ans pour les situations de faible sécurité (comme l'inscription à un club de vin ou un programme de fidélisation des entreprises). Et bien que j'ai commencé à créer des mots de passe forts (mais faciles à retenir) pour des comptes plus importants, ces mots de passe suivent tous un modèle et ne sont pas randomisés. Pire encore, je conserve un document en texte brut de 20 ans dans lequel je stocke tout de mes informations personnelles sensibles.

C'est idiot. Dumb Dumb Dumb Dumb Dumb.

Je sais que c'est stupide, mais je n'ai jamais pris la peine d'apporter des modifications – jusqu'à présent. Maintenant, pour diverses raisons, j'ai l'impression qu'il est temps pour moi de sécuriser un peu plus ma vie numérique. J'ai passé plusieurs heures le week-end à verrouiller les choses. Voici comment.

"Un

Un bref guide de la cybersécurité

Par coïncidence, le jour même où mon compte Spotify était utilisé pour diffuser les plus grands succès de Prince au Brésil, un utilisateur de Reddit nommé / u / ACheetoBandito a publié un guide de la cybersécurité dans / r / fatFIRE. Comme c'est pratique!

«La cybersécurité est un élément essentiel de la sécurité financière, mais rarement discutée dans les milieux des finances personnelles», a écrit / u / ACheetoBandito. «Notez que les praticiens de la cybersécurité ne s'entendent pas sur les meilleures pratiques en matière de cybersécurité personnelle. C'est mon perspective, car j'ai une certaine expertise dans le domaine. "

Je ne reproduirai pas l'intégralité du message ici – vous devriez certainement aller le lire, si ce sujet est important pour vous – mais je volonté énumérer le résumé à puces ainsi que certaines de mes propres pensées. Notre ami aux doigts d'orange recommande à toute personne préoccupée par la cybersécurité de prendre les mesures suivantes:

  1. Obtenez au moins deux clés de sécurité matérielles. Mon copain Robert Farrington (de The College Investor) utilise la YubiKey. Google propose sa clé de sécurité Titan. (J'ai commandé le YubiKey 5c nano en raison de son facteur de forme minimal.)
  2. Créez un compte de messagerie privé secret. Votre adresse e-mail privée ne doit pas être liée tout chemin vers votre e-mail public, et l'adresse ne doit être donnée à personne. (J'ai déjà de nombreux comptes de messagerie publics, mais je n'avais pas d'adresse privée. J'en ai maintenant.)
  3. Activez la protection avancée pour vos comptes gmail publics et privés. Advanced Protection est un module complémentaire de sécurité gratuit de Google. Associez-le aux clés de sécurité que vous avez acquises à l'étape un. (Je n'ai pas configuré cela car mes clés de sécurité n'arriveront pas avant cet après-midi.)
  4. Configurez un gestionnaire de mots de passe. Le gestionnaire de mots de passe que vous choisissez dépend de vous. La clé est de choisir celui que vous utilisation. Il est préférable que cette application prenne en charge vos nouvelles clés de sécurité pour l'authentification. (Je couvrirai quelques options dans la section suivante de cet article.)
  5. Générez de nouveaux mots de passe pour tout comptes. Créez manuellement des mots de passe mémorisables pour vos adresses e-mail, vos ordinateurs (et appareils mobiles) et pour le gestionnaire de mots de passe lui-même. Tous les autres mots de passe doivent être des mots de passe forts générés aléatoirement par le gestionnaire de mots de passe.
  6. Associez des comptes critiques à votre nouvelle adresse e-mail privée. Cela inclura les comptes financiers, tels que vos banques, maisons de courtage et cartes de crédit. Mais cela pourrait également inclure d'autres comptes. (Je vais utiliser mon adresse e-mail privée pour les services de base liés à ce site Web, par exemple.)
  7. Activez les mesures de sécurité supplémentaires pour tous les comptes. Les fonctionnalités disponibles varient d'un fournisseur à l'autre, mais en règle générale, vous devriez pouvoir activer l'authentification à deux facteurs (avec les clés de sécurité, dans la mesure du possible) et les alertes de connexion.
  8. Activez les alertes texte / e-mail pour les comptes financiers. Vous pouvez également activer les alertes pour les modifications de votre pointage de crédit et / ou de votre rapport de crédit.
  9. Activez les mesures de sécurité sur vos appareils mobiles. Votre téléphone doit être verrouillé par une mesure d'autorisation forte. Et chacune de vos applications financières individuelles doit être verrouillée avec un mot de passe et toute autre mesure de sécurité possible.

/ u / ACheetoBandito recommande des mesures de sécurité supplémentaires facultatives. (Et tout ce fil de discussion Reddit est rempli d'excellents conseils de sécurité.)

Vous voudrez peut-être geler votre crédit (bien que, si vous le faites, n'oubliez pas que vous devrez parfois ONU-geler votre crédit pour effectuer des transactions financières). Certaines personnes voudront crypter leurs téléphones et disques durs. Et si vous êtes très préoccupé par la sécurité, achetez un Chromebook bon marché et utilisez-le comme seulement appareil sur lequel vous effectuez des transactions financières. (Croyez-le ou non, je fais cette dernière étape facultative. Cela a du sens pour moi – et cela peut être une chance pour moi d'aller au-delà de Quicken.)

Explorer les meilleurs gestionnaires de mots de passe

D'accord! Super! J'ai commandé un nouveau Chromebook à 150 $ et deux clés de sécurité matérielles. J'ai configuré une toute nouvelle adresse e-mail top secrète que je connecterai à tout compte nécessitant une sécurité supplémentaire. Mais je n'ai toujours pas abordé le point le plus faible du processus: mon document texte rempli de mots de passe.

Une partie du problème est la complaisance. Mon système est simple et j'aime ça. Mais une autre partie du problème est la paralysie de l'analyse. Il y a un lot des gestionnaires de mots de passe là-bas, et je ne sais pas comment les différencier, pour déterminer celui qui me convient le mieux et mes besoins.

"Demander

Pour obtenir de l'aide, j'ai demandé à mes amis Facebook de répertorier les meilleurs gestionnaires de mots de passe. J'ai téléchargé et installé chacune de leurs suggestions, puis j'ai noté quelques impressions initiales.

  • LastPass: 16 votes (2 de la part des nerds de la technologie) – LastPass était de loin le gestionnaire de mots de passe le plus populaire parmi mes amis Facebook. Les gens l'adorent. Je l'ai installé et fouillé, et il semble que… d'accord. L'interface est un peu maladroite et l'ensemble des fonctionnalités semble adéquat (mais pas robuste). L'application utilise la métaphore du coffre-fort facile à comprendre, que j'aime. LastPass est gratuit (avec des options premium disponibles pour un coût supplémentaire).
  • 1Password: 7 votes (4 de tech nerds) – Cette application a des fonctionnalités similaires à Bitwarden ou LastPass. L'interface est assez agréable et semble fournir des alertes de sécurité. 1Password coûte 36 $ / an.
  • Bitwarden: 4 votes (2 de nerds technologiques) – Bitwarden a une interface simple et facile à comprendre. Il utilise la même métaphore du «coffre-fort» que les produits comme LastPass et 1Password utilisent. C'est un concurrent sérieux pour devenir l'outil que j'utilise. Bitwarden est gratuit. Pour 10 $ par an, vous pouvez ajouter des fonctionnalités de sécurité premium.
  • KeePass: 2 votes – KeePass est un gestionnaire de mot de passe Open Source gratuit. Des installations KeePass sont disponibles pour tous les principaux systèmes d'exploitation informatiques et mobiles. Si vous êtes un fou Linux (ou un défenseur de l'Open Source), cela pourrait être un bon choix. Je n'aime pas sa fonctionnalité limitée et sa terrible interface. KeePass est gratuit.
  • Dashlane: 2 votes – De tous les gestionnaires de mots de passe que j'ai consultés, Dashlane a la plus belle interface et le plus de fonctionnalités. Comme beaucoup de ces outils, il utilise la métaphore du «coffre-fort», mais il vous permet de stocker plus de choses dans ce coffre-fort que les autres outils. (Vous pouvez stocker des informations d'identification – permis de conduire, passeport – par exemple. Il y a aussi un endroit pour stocker les reçus.) Dashlane a une option de base gratuite mais la plupart des gens voudront l'option premium de 60 $ / an. (Il existe également une option de 120 $ / an qui comprend la surveillance du crédit et l'assurance vol d'identité.)
  • Flou: 1 vote – Le flou est différent de la plupart des gestionnaires de mots de passe. Il essaie littéralement de brouiller votre identité en ligne. Il empêche les navigateurs Web de vous suivre, masque les adresses e-mail et les cartes de crédit et les numéros de téléphone, et (ou bien sûr) gère les mots de passe. Je veux des fonctionnalités que Blur n'a pas – et je ne veux pas des fonctionnalités qu'il Est-ce que avoir. Le flou coûte au moins 39 $ / an mais ce prix peut devenir beaucoup plus élevé.
  • Apple Keychain: 1 vote – Keychain est le gestionnaire de mots de passe intégré d'Apple depuis 1999. En tant que tel, il est disponible gratuitement sur les appareils Apple. La plupart des gens Mac et iOS utilisent le trousseau sans même s'en rendre compte. Ce n'est pas vraiment assez robuste pour faire autre chose que stocker les mots de passe, donc je n'y ai pas sérieusement pensé. Le trousseau est gratuit et est installé sur les produits Apple.

Laisse moi être clair: Je n'ai fait qu'un rapide examen de ces gestionnaires de mots de passe. Je n'ai pas plongé profondément. Si j'essayais de comparer chaque fonctionnalité de chaque gestionnaire de mots de passe, je ne choisirais jamais. Je serais de nouveau enfermé dans la paralysie de l'analyse. Donc, j'ai donné à chacun une rapide fois et pris une décision basée sur l'intestin et l'intuition.

Parmi ces outils, deux se démarquaient: Bitwarden et Dashlane. Les deux arborent de belles interfaces et de nombreuses fonctionnalités. Les deux outils offrent des versions gratuites, mais je voudrais passer à un plan premium payant afin d'avoir accès à l'authentification à deux facteurs (en utilisant mes nouvelles clés de sécurité matérielles) et à la surveillance de la sécurité. C'est là que Bitwarden a un gros avantage. C'est seulement 10 $ par an. Pour obtenir les mêmes fonctionnalités, Dashlane coûte 60 $ / an.

Mais voici le truc.

J'ai commencé en fait en utilisant ces deux outils en même temps, en entrant un à un les mots de passe de mon site Web. Je me suis arrêté après avoir entré dix sites dans chacun. Il était clair que je préférais largement utiliser Dashlane à Bitwarden. Cela fonctionne simplement d'une manière qui me semble logique. (Votre expérience pourrait être différente.) Donc, pendant un petit moment au moins, Je vais utiliser Dashlane comme gestionnaire de mots de passe.

"Interface

Le problème avec les mots de passe

Mon principal motif d'utilisation d'un gestionnaire de mots de passe est d'extraire mes informations sensibles d'un document en texte brut et de le placer dans quelque chose de plus sécurisé. Mais j'ai un motif secondaire: je veux améliorer la force de mes mots de passe.

Quand j'ai commencé à utiliser Internet – dans les années 1980, avant l'avènement du World Wide Web – je n'ai pas pensé à la force des mots de passe. Le premier mot de passe que j'ai créé (en 1989) était simplement le nom de mon ami qui m'a permis d'utiliser son ordinateur pour accéder aux systèmes de babillard locaux. J'ai utilisé ce mot de passe pour ans sur tout, des comptes de messagerie aux sites bancaires. Je le considère toujours comme mon mot de passe «à faible sécurité» pour les choses qui ne sont pas critiques.

J'ai peut-être huit ou dix mots de passe comme celui-ci: des mots de passe courts et simples que j'ai utilisés dans des dizaines d'endroits. Au cours des cinq dernières années, j'ai essayé de passer à des mots de passe uniques pour chaque site, des mots de passe qui suivent un modèle. Bien que ce soit une amélioration, ils ne sont toujours pas excellents. Comme je l'ai dit, ils suivent un schéma. Et bien qu'ils contiennent des lettres, des chiffres et des symboles, ils sont tous relativement courts.

Comme vous pouvez vous y attendre, mon protocole de mot de passe bâclé a créé quelque chose d'un cauchemar de sécurité. Voici une capture d'écran de l'outil Google Password Checkup pour l'un de mes comptes.

"Google

J'obtiens des résultats similaires pour tout de mes comptes Google. Oui.

De plus, il y a le problème du partage de compte.

Kim et moi partageons un compte Netflix. Et un compte Amazon. Et un compte Hulu. Et un compte iTunes. En fait, nous partageons probablement vingt ou trente comptes. Elle et moi utilisons le même mot de passe facile à retenir pour toutes ces connexions. Bien qu'aucun de ces comptes ne soit super sensible, ce que nous faisons est toujours une mauvaise idée.

Donc, je veux commencer à évoluer vers des mots de passe plus sécurisés – même pour les comptes que je partage avec Kim.

La bonne nouvelle est que la plupart des gestionnaires de mots de passe – y compris Dashlane – généreront automatiquement des mots de passe aléatoires pour vous. Ou je pourrais essayer quelque chose de similaire à l'idée suggérée dans cette bande dessinée XKCD:

"XKCD

Le problème, bien sûr, est que chaque endroit a des exigences différentes pour les mots de passe. Certains nécessitent des numéros. Certains nécessitent des symboles. Certains disent non symboles. Etc. Je ne connais aucun site qui me permettrait d'utiliser quatre mots communs aléatoires pour un mot de passe!

Pour l'instant, je vais adopter une approche en trois volets:

  • Je vais créer manuellement des mots de passe longs (mais mémorables) pour mes comptes les plus critiques. Il s'agit de la méthode XKCD.
  • Pour les comptes que je partage avec Kim – Netflix, etc. – je vais créer de nouveaux mots de passe mémorables qui suivent un modèle.
  • Pour tout le reste, je laisserai mon gestionnaire de mots de passe générer des mots de passe aléatoires.

Cela semble être un bon équilibre entre convivialité et sécurité. Chaque mot de passe sera différent. Seuls ceux que je partage avec Kim seront courts; tous les autres seront longs. Et la plupart de mes nouveaux mots de passe seront du charabia aléatoire.

Réflexions finales sur la cybersécurité

Dans cette courte vidéo de Tech Insider, un ancien expert en sécurité de la National Security Agency partage ses cinq meilleurs conseils pour vous protéger en ligne.

(intégré) https://www.youtube.com/watch?v=-ni_PWxrsNo (/ intégré)

Vous remarquerez qu'ils sont similaires au guide de cybersécurité Reddit que j'ai publié plus tôt dans cet article. Voici les étapes qu'il dit de prendre pour assurer votre sécurité:

  • Activez l'authentification à deux facteurs dans la mesure du possible.
  • N'utilisez pas le même mot de passe partout.
  • Gardez votre système d'exploitation (et vos logiciels) à jour.
  • Soyez prudent avec ce que vous publiez sur les réseaux sociaux.
  • Faire ne pas partager des informations personnelles, sauf si vous êtes certain vous traitez avec une entreprise ou une personne de confiance.

Je ne prétendrai pas que les mesures que je prends me protégeront complètement. Mais mon nouveau système est certainement une mise à niveau de ce que je fais depuis plus de 20 ans – qui était, comme je l'ai mentionné, stupide stupide.

Et je dois avouer: je comme l'idée de restreindre ma vie financière en ligne à un seul ordinateur – le nouveau Chromebook à 150 $. Je ne sais pas si c'est réellement faisable, mais je vais essayer. Si cela fonctionne, je peux voir si je peux trouver un outil de gestion de l'argent que j'aime pour la machine. Peut-être que je pourrai enfin quitter Quicken 2007 pour Mac!

Qu'est-ce que j'ai raté? Quelles étapes ont vous prises pour protéger vos comptes en ligne? Selon vous, quel est le meilleur gestionnaire de mots de passe? Comment créez-vous des mots de passe mémorables et sécurisés? Comment gérez-vous les comptes partagés? Aidez les autres lecteurs de GRS – et moi! – développer de meilleures pratiques de sécurité en ligne.

Auteur: J.D. Roth

En 2006, J.D.a fondé Get Rich Slowly pour documenter sa quête pour sortir de la dette. Au fil du temps, il a appris à épargner et à investir. Aujourd'hui, il a réussi à atteindre une retraite anticipée! Il veut vous aider à maîtriser votre argent – et votre vie. Aucune arnaque. Pas de gadgets. Juste des conseils sur l'argent intelligent pour vous aider à atteindre vos objectifs.