Pour éviter que vos mots de passe ne soient piratés par l'ingénierie sociale, la force brute ou la méthode d'attaque par dictionnaire, et protéger vos comptes en ligne, vous devriez remarquer que :

1. N'utilisez pas le même mot de passe, la même question de sécurité et la même réponse pour plusieurs comptes importants.

2. Utilisez un mot de passe d'au moins 16 caractères, utilisez au moins un chiffre, une lettre majuscule, une lettre minuscule et un symbole spécial.

3. N'utilisez pas les noms de vos familles, amis ou animaux de compagnie dans vos mots de passe. Dans certains cas, par exemple, vous avez plus de 100 bitcoins, alors vous ne devriez laisser personne, sauf votre mère, connaître vos mots de passe, même votre père n'est pas assez fiable.

4. N'utilisez pas de codes postaux, de numéros de maison, de numéros de téléphone, de dates de naissance, de numéros de carte d'identité, de numéros de sécurité sociale, etc. dans vos mots de passe.

5. N'utilisez aucun mot du dictionnaire dans vos mots de passe. Exemples de mots de passe forts : ePYHc~dS*)8$+V-' , qzRtC{6rXN3N\RgL , zbfUMZPE6`FC%)sZ. Exemples de mots de passe faibles : qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword.

6. N'utilisez pas deux mots de passe similaires ou plus dont la plupart des caractères sont identiques, par exemple, ilovefreshflowersMac, ilovefreshflowersDropBox, car si l'un de ces mots de passe est volé, cela signifie que tous ces mots de passe sont volés.

7. N'utilisez pas quelque chose qui peut être cloné (mais que vous ne pouvez pas changer) comme mots de passe, comme vos empreintes digitales.

8. Ne laissez pas vos navigateurs Web (FireFox, Chrome, Safari, Opera, IE, Microsoft Edge) stocker vos mots de passe, car tous les mots de passe enregistrés dans les navigateurs Web peuvent être révélés facilement.

9. Ne vous connectez pas à des comptes importants sur les ordinateurs des autres, ou lorsque vous êtes connecté à un point d'accès Wi-Fi public, à Tor, à un VPN gratuit ou à un proxy Web.

10. N'envoyez pas d'informations sensibles en ligne en clair (par ex. Connexions HTTP ou FTP), car les messages de ces connexions peuvent être reniflés avec très peu d'effort. Vous devez utiliser des connexions cryptées telles que HTTPS, SFTP, FTPS, SMTPS, IPSec dans la mesure du possible.

11. Lorsque vous voyagez, vous pouvez crypter vos connexions Internet avant qu'elles ne quittent votre ordinateur portable, tablette, téléphone portable ou routeur. Par exemple, vous pouvez configurer un VPN privé avec des protocoles comme WireGuard (ou IKEv2, OpenVPN, SSTP, L2TP sur IPSec) sur votre propre serveur (ordinateur personnel, serveur dédié ou VPS) et connectez-vous à celui-ci. Alternativement, vous pouvez configurer un tunnel SSH crypté entre votre ordinateur et votre propre serveur et configurer Chrome ou FireFox pour utiliser le proxy socks. Ensuite, même si quelqu'un capture vos données telles qu'elles sont transmises entre votre appareil (par exemple, ordinateur portable, iPhone, iPad) et votre serveur avec un renifleur de paquets, il ne pourra pas pour voler vos données et mots de passe des données de streaming cryptées.

12. Dans quelle mesure mon mot de passe est-il sécurisé? Peut-être pensez-vous que vos mots de passe sont très forts, difficiles à pirater. Mais si un pirate a volé votre nom d'utilisateur et la valeur de hachage MD5 de votre mot de passe sur le serveur d'une entreprise, et que la table arc-en-ciel du pirate contient ce hachage MD5, Ensuite, votre mot de passe sera rapidement piraté.

Pour vérifier la force de vos mots de passe et savoir s'ils se trouvent dans les tables arc-en-ciel populaires, vous pouvez convertir Vos mots de passe pour les hachages MD5 sur un générateur de hachage MD5, puis décryptez vos mots de passe en soumettant ces hachages à un service de décryptage MD5 en ligne. Par exemple, votre mot de passe est "0123456789A", en utilisant la méthode de force brute, il peut prendre un an à un ordinateur pour déchiffrer votre mot de passe, mais si vous le déchiffrez par Soumettre son hachage MD5 ( C8E7279CD035B23BB9C0F1F954DFF5B3 ) à un site Web de décryptage MD5, combien de temps faudra-t-il pour le déchiffrer? Vous pouvez effectuer le test vous-même.

13. Il est recommandé de changer vos mots de passe toutes les 10 semaines.

14. Il est recommandé de mémoriser quelques mots de passe maîtres, de stocker d'autres mots de passe dans un fichier texte brut et de crypter ce fichier avec 7-Zip, GPG ou un logiciel de cryptage de disque tel que comme BitLocker, ou gérez vos mots de passe avec un logiciel de gestion de mots de passe.

15. Chiffrez et sauvegardez vos mots de passe à différents endroits, puis si vous avez perdu l'accès à votre ordinateur ou à votre compte, vous pouvez récupérer vos mots de passe rapidement.

16. Activez l'authentification en 2 étapes autant que possible.

17. Ne stockez pas vos mots de passe critiques dans le cloud.

18. Accédez à des sites Web importants (par ex. Paypal SNS.show ) directement à partir des signets, sinon veuillez vérifier attentivement son nom de domaine, c'est une bonne idée de vérifier la popularité d'un site Web avec la barre d'outils Alexa pour vous assurer qu'il est pas un site de phishing avant d'entrer votre mot de passe.

19. Protégez votre ordinateur avec un pare-feu et un antivirus, bloquez toutes les connexions entrantes et toutes les connexions sortantes inutiles avec le pare-feu. Téléchargez le logiciel à partir de sites réputés uniquement et vérifiez la somme de contrôle MD5 / SHA1 / SHA256 ou la signature GPG du package d'installation dans la mesure du possible.

20. Conservez les systèmes d'exploitation (par exemple Windows 7, Windows 10, Mac OS X, iOS, Linux) et les navigateurs Web (par exemple FireFox, Chrome, IE, Microsoft Edge) de vos appareils (par ex. Windows PC, Mac PC, iPhone, iPad, tablette Android) à jour en installant la dernière mise à jour de sécurité.

21. S'il existe des fichiers importants sur votre ordinateur et que d'autres peuvent y accéder, vérifiez s'il existe des enregistreurs de frappe matériels (par exemple, un renifleur de clavier sans fil), des enregistreurs de frappe logiciels et des enregistreurs de frappe cachés. caméras lorsque vous sentez que c'est nécessaire.

22. S'il y a des routeurs WIFI chez vous, il est possible de connaître les mots de passe que vous avez tapés (chez votre voisin) en détectant les gestes de vos doigts et de vos mains, puisque le signal WIFI qu'ils ont reçu changera lorsque vous bougez vos doigts et vos mains. Vous pouvez utiliser un clavier à l'écran pour taper vos mots de passe dans de tels cas, il serait plus sûr que ce clavier virtuel (ou clavier logiciel) change de disposition à chaque fois.

23. Verrouillez votre ordinateur et votre téléphone portable lorsque vous les quittez.

24. Chiffrez l'intégralité du disque dur avec VeraCrypt, FileVault, LUKS ou des outils similaires avant d'y mettre des fichiers importants, et détruisez physiquement le disque dur de vos anciens appareils si cela est nécessaire.

25. Accédez à des sites Web importants en mode privé ou incognito, ou utilisez un navigateur Web pour accéder à des sites Web importants, utilisez-en un autre pour accéder à d'autres sites. Ou accédez à des sites Web sans importance et installez de nouveaux logiciels dans une machine virtuelle créée avec VMware, VirtualBox ou Parallels.

26. Utilisez au moins 3 adresses e-mail différentes, utilisez la première pour recevoir des e-mails de sites et d'applications importants, tels que Paypal, Amazon, SNS.show utilisez la seconde pour recevoir e-mails provenant de sites et d'applications sans importance, utilisez le troisième (d'un autre fournisseur de messagerie, tel qu'Outlook et GMail) pour recevoir votre e-mail de réinitialisation de mot de passe lorsque le premier (par exemple Yahoo Mail) est piraté.

27. Utilisez au moins 2 numéros de téléphone différents, ne dites PAS aux autres le numéro de téléphone que vous utilisez pour recevoir des SMS des codes de vérification.

28. Ne cliquez pas sur le lien dans un e-mail ou un SMS, ne réinitialisez pas vos mots de passe en cliquant dessus, sauf que vous savez que ces messages ne sont pas faux.

29. Ne dites vos mots de passe à personne dans l'e-mail.

30. Il est possible que l'un des logiciels ou applications que vous avez téléchargés ou mis à jour ait été modifié par des pirates, vous pouvez éviter ce problème en n'installant pas ce logiciel ou cette application au première fois, sauf qu'il est publié pour corriger les failles de sécurité. Vous pouvez utiliser des applications Web à la place, qui sont plus sécurisées et portables.

31. Soyez prudent lorsque vous utilisez des outils de collage en ligne et des outils de capture d'écran, ne les laissez pas télécharger vos mots de passe dans le cloud.

32. Si vous êtes webmaster, ne stockez pas les mots de passe des utilisateurs, les questions de sécurité et les réponses en texte brut dans la base de données, vous devez stocker le salé (SHA1, SHA256 ou SHA512 ) valeurs de hachage de ces chaînes à la place.  Il est recommandé de générer une chaîne de sel aléatoire unique pour chaque utilisateur. De plus, c'est une bonne idée d'enregistrer les informations de l'appareil de l'utilisateur (par exemple Version du système d'exploitation, résolution de l'écran, etc.) et enregistrez leurs valeurs de hachage salées, puis lorsqu'il essaie de se connecter avec le mot de passe correct mais les informations de son appareil ne correspond PAS au précédent enregistré, laissez cet utilisateur vérifier son identité en entrant un autre code de vérification envoyé par SMS ou par e-mail.

33. Si vous êtes un développeur de logiciels, vous devez publier le package de mise à jour signé avec une clé privée à l'aide de GnuPG, et vérifier la signature de celui-ci avec la clé publique publiée précédemment.

34. Pour assurer la sécurité de votre entreprise en ligne, vous devez enregistrer votre propre nom de domaine et créer un compte de messagerie avec ce nom de domaine, vous ne perdrez pas votre messagerie compte et tous vos contacts, puisque vous pouvez héberger votre serveur de messagerie n'importe où, votre compte de messagerie ne peut pas être désactivé par le fournisseur de messagerie.

35. Si un site d'achat en ligne ne permet d'effectuer des paiements qu'avec des cartes de crédit, vous devriez utiliser une carte de crédit virtuelle à la place.

36. Fermez votre navigateur Web lorsque vous quittez votre ordinateur, sinon les cookies peuvent être interceptés facilement avec un petit périphérique USB, ce qui permet de contourner la vérification en deux étapes et de vous connecter dans votre compte avec des cookies volés sur d'autres ordinateurs.

37. Méfiez-vous et supprimez les certificats SSL défectueux de votre navigateur Web, sinon vous ne serez PAS en mesure d'assurer la confidentialité et l'intégrité des connexions HTTPS qui utilisent ces certificats.

38. Chiffrez toute la partition système, sinon désactivez les fonctions de fichier page et d'hibernation, car il est possible de trouver vos documents importants dans les fichiers pagefile.sys et hiberfil.sys.

39. Pour éviter les attaques de connexion par force brute sur vos serveurs dédiés, serveurs VPS ou serveurs cloud, vous pouvez installer un logiciel de détection et de prévention des intrusions tel que LFD (Login Failure Daemon) ou Fail2Ban.

40. Si c'est possible, utilisez un logiciel basé sur le cloud au lieu d'installer le logiciel sur votre appareil local, car il y a de plus en plus d'attaques de la chaîne d'approvisionnement qui installeront des applications malveillantes Ou mettez à jour votre appareil pour voler vos mots de passe et accéder à des données top secrètes.

41. C'est une bonne idée de générer les sommes de contrôle MD5 ou SHA1 de tous les fichiers de votre ordinateur (avec un logiciel comme MD5Summer) et d'enregistrer le résultat, puis de vérifier l'intégrité de vos fichiers (et trouvez des fichiers chevaux de Troie ou des programmes avec une porte dérobée injectée) tous les jours en comparant leurs sommes de contrôle avec le résultat enregistré précédemment.

42. Chaque grande entreprise devrait mettre en œuvre et appliquer un système de détection d'intrusion basé sur l'intelligence artificielle (y compris des outils de détection d'anomalies de comportement du réseau).

43. Autorisez uniquement les adresses IP figurant sur la liste blanche à se connecter ou à se connecter aux serveurs et ordinateurs importants.

44. Savez-vous que vous pouvez cacher un ou plusieurs fichiers dans un autre fichier? Par exemple, sous Linux, vous pouvez utiliser cette commande "cat file1.mp4 file2hide.gpg> file2.mp4" pour ajouter le fichier file2hide.gpg à la fin du fichier file1.mp4, et générer un nouveau fichier nommé file2.mp4. Le nouveau fichier (fichier2.mp4) est toujours lisible dans tous les lecteurs multimédias tels que VLC, si vous choisissez de masquer dans un fichier PDF ou un fichier FLAC, la sortie Le fichier peut être ouvert avec n'importe quel lecteur PDF ou lecteur de musique sans aucun problème. Pour diviser le fichier de sortie, vous pouvez utiliser la commande "tail" avec la commande "split", vous pouvez également écrire un petit code pour faire ce travail.