Petit guide des bases de la cybersécurité

Lundi dernier, J'ai reçu un e-mail de Spotify disant que quelqu'un au Brésil s'était connecté à mon compte.

J'ai vérifié. Effectivement :un inconnu utilisait mon Spotify pour écouter Michael Jackson. J'ai dit à Spotify de « me déconnecter partout », mais je n'ai pas changé mon mot de passe.

Mercredi, Cela est arrivé à nouveau. A 2h du matin, J'ai reçu un autre e-mail de Spotify. Cette fois, mon ami brésilien sournois écoutait Prince. Et ils ont apparemment aimé le look de l'une de mes listes de lecture ("Funk Is Its Own Reward"), parce qu'ils avaient écouté ça aussi.

Je me suis à nouveau déconnecté partout, et cette fois que j'ai changé mon mot de passe. Et j'ai pris une résolution.

Tu vois, J'ai fait un mauvais travail de mise en œuvre de mesures de sécurité en ligne modernes. Oui, J'ai mes comptes financiers critiques verrouillés avec une authentification à deux facteurs, etc., mais je suis surtout négligent en matière de cybersécurité.

Par exemple, Je réutilise les mots de passe. J'utilise toujours les mots de passe de Il y a trente ans pour les situations de faible sécurité (comme l'inscription à un club de vin ou à un programme de fidélité d'entreprise). Et même si j'ai commencé à créer des mots de passe forts (mais faciles à retenir) pour des comptes plus importants, ces mots de passe suivent tous un modèle et ils ne sont pas aléatoires. Le pire de tout, Je conserve un document en texte brut vieux de 20 ans dans lequel je stocke tous de mes informations personnelles sensibles.

C'est stupide. Muet muet muet muet muet.

Je sais que c'est stupide, mais je n'ai jamais pris la peine de faire des changements - jusqu'à maintenant. Maintenant, pour diverses raisons, J'ai l'impression qu'il est temps pour moi de sécuriser un peu plus ma vie numérique. J'ai passé plusieurs heures ce week-end à verrouiller les choses. Voici comment.

Petit guide de la cybersécurité

Par coïncidence, le jour même où mon compte Spotify était utilisé pour diffuser les plus grands succès de Prince au Brésil, un utilisateur de Reddit nommé /u/ACheetoBandito a publié un guide sur la cybersécurité dans /r/fatFIRE. Comme c'est pratique!

« La cybersécurité est un élément essentiel de la sécurité financière, mais rarement discuté dans les cercles de finances personnelles, ” /u/ACheetoBandito a écrit. « Notez que les praticiens de la cybersécurité sont en désaccord sur les meilleures pratiques en matière de cybersécurité personnelle. C'est ma perspective, car j'ai une certaine expertise dans le domaine.

Je ne reproduirai pas l'intégralité de l'article ici - vous devriez certainement aller le lire, si ce sujet est important pour vous - mais je volonté énumérez le résumé à puces ainsi que certaines de mes propres réflexions. Notre ami aux doigts d'orange recommande à toute personne concernée par la cybersécurité de suivre les étapes suivantes :

1. Obtenez au moins deux clés de sécurité matérielles. Mon copain Robert Farrington (de The College Investor) utilise la YubiKey. Google propose sa clé de sécurité Titan. (J'ai commandé le YubiKey 5c nano en raison de son facteur de forme minimal.)
2. Configurez un compte de messagerie privé secret. Votre adresse e-mail privée ne doit pas être liée à tout chemin vers votre messagerie publique, et l'adresse ne doit être donnée à personne. (J'ai déjà de nombreux comptes de messagerie publics, mais je n'avais pas d'adresse privée. Je le fais maintenant.)
3. Activez la protection avancée pour vos comptes Gmail publics et privés. Advanced Protection est un module complémentaire de sécurité gratuit de Google. Liez-le aux clés de sécurité que vous avez acquises à la première étape. (Je n'ai pas configuré cela car mes clés de sécurité n'arriveront pas avant cet après-midi.)
4. Configurez un gestionnaire de mots de passe. Le gestionnaire de mots de passe que vous choisissez dépend de vous. La clé est d'en choisir un que vous utilisation . Il est préférable que cette application prenne en charge vos nouvelles clés de sécurité pour l'authentification. (Je couvrirai quelques options dans la section suivante de cet article.)
5. Générer de nouveaux mots de passe pour tous comptes. Créez manuellement des mots de passe mémorables pour vos adresses e-mail, vos ordinateurs (et appareils mobiles), et pour le gestionnaire de mots de passe lui-même. Tous les autres mots de passe doivent être des mots de passe forts générés aléatoirement par le gestionnaire de mots de passe.
6. Associez les comptes critiques à votre nouvelle adresse e-mail privée. Cela comprendra les comptes financiers, comme vos banques, courtiers, et cartes de crédit. Mais cela pourrait également inclure d'autres comptes. (J'utiliserai mon adresse e-mail privée pour les services de base liés à ce site Web, par exemple.)
7. Activez les mesures de sécurité supplémentaires pour tous les comptes. Les fonctionnalités disponibles varient d'un fournisseur à l'autre, mais de manière générale vous devriez pouvoir activer l'authentification à deux facteurs (avec les clés de sécurité, dans la mesure du possible) et des alertes de connexion.
8. Activez les alertes SMS/e-mail pour les comptes financiers. Vous pouvez également activer les alertes pour les modifications de votre pointage de crédit et/ou de votre rapport de crédit.
9. Activez les mesures de sécurité sur vos appareils mobiles. Votre téléphone doit être verrouillé par une mesure d'autorisation forte. Et chacune de vos applications financières individuelles doit être verrouillée avec un mot de passe et toute autre mesure de sécurité possible.

/u/ACheetoBandito recommande quelques autres, mesures de sécurité facultatives. (Et tout ce fil de discussion Reddit est rempli d'excellents conseils de sécurité.)

Vous voudrez peut-être geler votre crédit (bien que, si tu fais, rappelez-vous que vous aurez parfois besoin de ONU -geler votre crédit pour effectuer des transactions financières). Certaines personnes voudront crypter leurs téléphones et leurs disques durs. Et si vous êtes très préoccupé par la sécurité, achetez un Chromebook bon marché et utilisez-le comme seul appareil sur lequel vous effectuez des transactions financières. (Croyez-le ou non, Je prends cette dernière étape facultative. Ça me semble logique - et cela peut être une chance pour moi d'aller au-delà de Quicken.)

Explorer les meilleurs gestionnaires de mots de passe

D'accord, super! J'ai commandé un nouveau Chromebook à 150 $ et deux clés de sécurité matérielles. J'ai mis en place un tout nouveau, adresse e-mail top secrète, que je connecterai à n'importe quel compte nécessitant une sécurité renforcée. Mais je n'ai toujours pas abordé le point le plus faible du processus :mon document texte rempli de mots de passe.

Une partie du problème est la complaisance. Mon système est simple et je l'aime. Mais une autre partie du problème est la paralysie de l'analyse. Il y a un parcelle des gestionnaires de mots de passe, et je ne sais pas comment les différencier, pour déterminer lequel est bon pour moi et mes besoins.

Pour aider, J'ai demandé à mes amis Facebook de lister les meilleurs gestionnaires de mots de passe. J'ai téléchargé et installé chacune de leurs suggestions, puis j'ai noté quelques premières impressions.

• LastPass :16 votes (2 des nerds de la technologie) — LastPass était de loin le gestionnaire de mots de passe le plus populaire parmi mes amis Facebook. Les gens adorent ça. Je l'ai installé et fouiné, et il semble… d'accord. L'interface est un peu maladroite et l'ensemble des fonctionnalités semble adéquat (mais pas robuste). L'application utilise la métaphore facile à comprendre du "coffre-fort", que j'aime. LastPass est gratuit (avec des options premium disponibles pour un coût supplémentaire).
• 1Mot de passe :7 votes (4 de nerds de la technologie) - Cette application a des fonctionnalités similaires à Bitwarden ou LastPass. L'interface est assez sympa, et il semble fournir des alertes de sécurité. 1Password coûte 36 $/an.
• Bitwarden :4 votes (2 des nerds de la technologie) — Bitwarden a un simple, interface facile à comprendre. Il utilise la même métaphore du « coffre-fort » que celle utilisée par des produits comme LastPass et 1Password. C'est un concurrent sérieux pour devenir l'outil que j'utilise. Bitwarden est gratuit. Pour 10 $ par an, vous pouvez ajouter des fonctionnalités de sécurité premium.
• KeePass :2 votes — KeePass est un gestionnaire de mots de passe Open Source gratuit. Des installations KeePass sont disponibles pour tous les principaux systèmes d'exploitation informatiques et mobiles. Si vous êtes un cinglé de Linux (ou un défenseur de l'Open Source), cela pourrait être un bon choix. Je n'aime pas ses fonctionnalités limitées et son interface terrible. KeePass est gratuit.
• Dashlane : 2 votes — De tous les gestionnaires de mots de passe que j'ai consultés, Dashlane a l'interface la plus agréable et le plus de fonctionnalités. Comme beaucoup de ces outils, il utilise la métaphore du « coffre-fort », mais il vous permet de stocker plus de choses dans ce coffre-fort que les autres outils. (Vous pouvez stocker des informations d'identification - permis de conduire, passeport, par exemple. Il y a aussi un endroit pour stocker les reçus.) Dashlane propose une option de base gratuite mais la plupart des gens voudront l'option premium de 60 $/an. (Il existe également une option de 120 $/an qui comprend la surveillance du crédit et l'assurance contre le vol d'identité.)
• Flou :1 vote — Le flou est différent de la plupart des gestionnaires de mots de passe. Il essaie littéralement de brouiller votre identité en ligne. Il empêche les navigateurs Web de vous suivre, masque les adresses e-mail, les cartes de crédit et les numéros de téléphone, et (ou bien sûr) gère les mots de passe. Je veux certaines fonctionnalités que Blur n'a pas - et je ne veux pas certaines des fonctionnalités qu'il Est-ce que ont. Le flou coûte au moins 39 $/an mais ce prix peut devenir beaucoup plus élevé.
• Apple Keychain :1 vote — Keychain est le gestionnaire de mots de passe intégré d'Apple depuis 1999. En tant que tel, il est disponible gratuitement sur les appareils Apple. La plupart des utilisateurs de Mac et iOS utilisent Keychain sans même s'en rendre compte. Ce n'est pas vraiment assez robuste pour faire autre chose que stocker des mots de passe, donc je n'y ai pas réfléchi sérieusement. Le trousseau est gratuit et est installé sur les produits Apple.

Laisse moi être clair: Je n'ai fait qu'un examen superficiel de ces gestionnaires de mots de passe. Je n'ai pas plongé profondément. Si j'essayais de comparer toutes les fonctionnalités de chaque gestionnaire de mots de passe, Je ne choisirais jamais. Je serais à nouveau enfermé dans une paralysie d'analyse. Donc, J'ai donné à chacun un rapide examen et j'ai pris une décision basée sur mon intuition et mon intuition.

Parmi ces outils, deux se sont démarqués :Bitwarden et Dashlane. Les deux arborent de belles interfaces et de nombreuses fonctionnalités. Les deux outils proposent des versions gratuites, mais je voudrais passer à un plan premium payant afin d'accéder à l'authentification à deux facteurs (à l'aide de mes nouvelles clés de sécurité matérielles) et à la surveillance de la sécurité. C'est là que Bitwarden a un gros avantage. C'est seulement 10 $ par an. Pour obtenir les mêmes fonctionnalités, Dashlane coûte 60 $/an.

Mais voici la chose.

j'ai commencé en fait à l'aide de ces deux outils à la fois, entrer les mots de passe de mon site Web un par un. Je me suis arrêté après avoir entré dix sites dans chacun. Il était clair que je préférais largement utiliser Dashlane à Bitwarden. Cela fonctionne juste d'une manière qui a du sens pour moi. (Votre expérience peut être différente.) Alors, pour un petit moment au moins, Je vais utiliser Dashlane comme gestionnaire de mots de passe.

Le problème des mots de passe

Ma principale motivation pour utiliser un gestionnaire de mots de passe est d'extraire mes informations sensibles d'un document en texte brut et de les transférer dans quelque chose de plus sécurisé. Mais j'ai un mobile secondaire :je veux améliorer la force de mes mots de passe.

Quand j'ai commencé à utiliser Internet - dans les années 1980, avant l'avènement du World Wide Web - je n'ai pas ménagé une pensée pour la force du mot de passe. Le premier mot de passe que j'ai créé (en 1989) était simplement le nom de mon ami qui m'a laissé utiliser son ordinateur pour accéder aux systèmes de babillards locaux. J'ai utilisé ce mot de passe pour années sur tout, des comptes de messagerie aux sites bancaires. Je le considère toujours comme mon mot de passe de « faible sécurité » pour les choses qui ne sont pas critiques.

J'ai peut-être huit ou dix mots de passe comme celui-ci :court, mots de passe simples que j'ai utilisés dans des dizaines d'endroits. Depuis cinq ans, J'ai essayé de passer à des mots de passe uniques pour chaque site, mots de passe qui suivent un modèle. Bien qu'il s'agisse d'une amélioration, ils ne sont toujours pas géniaux. Comme je dis, ils suivent un modèle. Et tandis qu'ils contiennent des lettres, Nombres, et symboles, ils sont tous relativement courts.

Comme vous pouvez vous y attendre, mon protocole de mot de passe bâclé a créé quelque chose d'un cauchemar de sécurité. Voici une capture d'écran de l'outil Google Password Checkup pour l'un de mes comptes.

J'obtiens des résultats similaires pour tous de mes comptes Google. Aïe.

Plus, il y a le problème du partage de compte.

Kim et moi partageons un compte Netflix. Et un compte Amazon. Et un compte Hulu. Et un compte iTunes. En réalité, nous partageons probablement vingt ou trente comptes. Elle et moi utilisons le même mot de passe facile à retenir pour toutes ces connexions. Bien qu'aucun de ces comptes ne soit super sensible, ce que nous faisons est encore une mauvaise idée.

Donc, Je veux commencer à évoluer vers des mots de passe plus sécurisés, même pour les comptes que je partage avec Kim.

La bonne nouvelle est que la plupart des gestionnaires de mots de passe, y compris Dashlane, généreront automatiquement des mots de passe aléatoires pour vous. Ou je pourrais essayer quelque chose de similaire à l'idée suggérée dans cette bande dessinée XKCD :

Le problème, bien sûr, est que chaque endroit a des exigences différentes pour les mots de passe. Certains nécessitent des chiffres. Certains nécessitent des symboles. Certains disent non symboles. Etc. Je ne connais aucun site qui me permettrait d'utiliser quatre mots courants aléatoires pour un mot de passe !

Pour l'instant, Je vais adopter une approche en trois volets :

• Je vais créer manuellement des mots de passe longs (mais mémorables) pour mes comptes les plus critiques. C'est la méthode XKCD.
• Pour les comptes que je partage avec Kim — Netflix, etcetera - je vais créer de nouveaux, mots de passe mémorables qui suivent un modèle.
• Pour tout le reste, Je laisserai mon gestionnaire de mots de passe générer des mots de passe aléatoires.

Cela semble être un bon équilibre entre convivialité et sécurité. Chaque mot de passe sera différent. Seuls ceux que je partage avec Kim seront courts; tous les autres seront longs. Et la plupart de mes nouveaux mots de passe seront du charabia aléatoire.

Réflexions finales sur la cybersécurité

Dans cette courte vidéo de Tech Insider, un ancien expert en sécurité de la National Security Agency partage ses cinq meilleurs conseils pour vous protéger en ligne.

Vous remarquerez qu'ils sont similaires au guide de cybersécurité Reddit que j'ai publié plus tôt dans cet article. Voici les mesures qu'il dit de prendre pour assurer votre sécurité :

• Activez l'authentification à deux facteurs dans la mesure du possible.
• N'utilisez pas le même mot de passe partout.
• Gardez votre système d'exploitation (et vos logiciels) à jour.
• Faites attention à ce que vous publiez sur les réseaux sociaux.
• Faire ne pas partager des informations personnelles sauf si vous certain vous faites affaire avec une entreprise ou une personne de confiance.

Je ne prétendrai pas que les mesures que je prends me protégeront complètement. Mais mon nouveau système est certainement une mise à niveau par rapport à ce que je fais depuis plus de 20 ans, c'est-à-dire comme je l'ai mentionné, muet muet muet.

Et je dois avouer :je Comme l'idée de restreindre ma vie financière en ligne à un seul ordinateur :le nouveau Chromebook à 150 $. Je ne sais pas si c'est vraiment faisable, mais je vais tenter le coup. Si cela fonctionne, alors je verrai peut-être si je peux trouver un outil de gestion de l'argent que j'aime pour la machine. Peut-être qu'alors je pourrai enfin laisser Quicken 2007 pour Mac derrière moi !