Tag Archives: mots de passe

Gmail: essentiel d’activer la double identification (avec téléphone)

[en] Haven't turned on Google two-factor authorization? Do it now, or you risk being the next Mat Honan.

Pour mes lecteurs plus francophones, dans la série “sécurité internet de base”, il est essentiel d’avoir pour votre e-mail non seulement un bon mot de passe, unique, et que vous ne partagez pas, mais également d’activer l’authentification en deux étapes.

C’est le genre de système qu’utilise votre e-banking depuis des lustres: pour vous connecter, vous devez donner votre mot de passe (=quelque chose que vous savez) et prouver via un code reçu par SMS que vous êtes en possession de votre téléphone mobile (=quelque chose que vous avez). Ainsi, le simple crack de votre mot de passe ne suffit plus à rentrer dans votre boîte e-mail.

Une fois activée la double authentification, Google va générer à votre demande des mots de passe à usage unique pour les services et applications que vous avez besoin de connecter à votre compte Gmail. Par exemple, votre logiciel de chat pour Google Talk, votre client e-mail sur votre ordinateur si vous en utilisez un, ou un réseau social qui voudrait accéder à vos contacts pour vous aider à démarrer.

Pas convaincu encore? Lisez Matt Cutts, patron de l’anti-webspam chez Google, qui vaporise un certain nombre de mythes (oui, si vous perdez votre téléphone, il y a quand même moyen pour vous d’accéder à votre e-mail!). Il a écrit cet article suite au hacking assez dramatique dont a été victime Mat Honan (en gros, perdu toutes ses données dans l’histoire, y compris toutes les photos de la première année de vie de sa fille). Si cette triste histoire ne vous motive pas à prendre un tout petit peu sérieusement la sécurité de votre identité en ligne… je ne peux rien faire pour vous!

Similar Posts:

Posted in Connected Life, Technology | Tagged authentification, e-mail, gmail, mots de passe, passwords, securité, security | Leave a comment

Internet: 3 règles d’or

[en] The talk I gave yesterday to students of ECCG Monthey.

Très rapidement, et sans grand commentaire (je dois faire mes valises pour le Bourget!), la présentation que j’ai donnée hier matin aux étudiants de l’ECCG Monthey (Ecole de Commerce et de Culture Générale de Monthey).

Il s’agissait d’insister sur trois principes importants pour approcher internet de façon intelligente et mature:

  1. faire preuve d’esprit critique face aux informations que l’on trouve (en passant, ce n’est pas valable que sur internet!)
  2. partager avec discernement
  3. verrouiller ses mots de passe…

Un grand merci à l’ECCG de m’avoir invitée à nouveau cette année, et aux étudiants pour leur attention à mes propos!

Similar Posts:

Posted in Digital Youth, My work | Tagged conference, école, mots de passe, prezi | Leave a comment

Orange Link nous demande nos mots de passe: pas au point!

[en] There is absolutely no excuse, in 2010, for asking people to enter their Gmail, Facebook or Twitter passwords on third-party sites. And that is precisely what the "social media to SMS" service Orange Link is doing for Gmail and Twitter, though they got Facebook right. Laziness or scary cluelessness?

Orange Link est un service d’Orange.ch qui nous permet de recevoir des alertes SMS de services comme Twitter, Facebook, et Gmail (et aussi, d’envoyer des SMS à ces services).

Orange Link

Très cool. J’espère en passant qu’ils sont aussi en train de bosser sur un partenariat avec Twitter comme l’ont fait d’autres opérateurs.

Ce qui est beaucoup moins cool c’est qu’ils nous demandent nos mots de passe Twitter et Gmail!

Orange Link - BAD BAD password anti-pattern

Regardez ce que je disais en avril 2008, il y a plus de deux ans:

I have an interest in social network portability (also called “make holes in my buckets”) — I gave a talk on SPSNs from a user point of view at WebCamp SNP in Cork recently — and I am also concerned that in many cases, implementations in that direction make generous use of the password anti-pattern (ie, asking people for the password to their e-mail). It’s high time for design to encourage responsible behaviour instead. As the discussion at WebCamp shows, we all agree that solutions need to be found.

Les gens ont tendance à être d’une naïveté affligeante avec leurs mots de passe, tant dans le choix de ceux-ci que l’insouciance avec laquelle il les prêtent à autrui ou les entrent sur n’importe quel site qui le leur demande.

Il est irresponsable de la part d’une entreprise comme Orange.ch d’encourager les gens à entrer leur mot de passe sur un site qui n’est pas celui du service en question. On est en 2010, loin de la situation en 2008 référencée plus haut, et OAuth et autres services du genre sont une réalité. Texprezzo et Textendo, qui fournissent la technologie derrière Orange Link, ne nous demandent d’ailleurs pas notre mot de passe Facebook, mais utilisent Facebook Connect pour accéder à notre compte.

Orange Link -- Good

Facebook | Request for Permission

Il n’y a donc aucune excuse pour ne pas procéder avec les technologies similaires à disposition pour Twitter et Gmail. Début 2009, Twitter était sur le point d’implémenter OAuth, ce qui a été fait depuis lors — lire la FAQ de Twitter sur OAuth. Quant à Google (pour Gmail), eh bien, depuis mars 2010 (enfin!) ils parlent aussi OAuth.

Je ne sais pas s’il faut en conclure qu’ils s’en fichent ou qu’ils sont mal informés/inconscients — mais à ce point, j’avoue que ça ne m’inspirerait guère confiance.

Similar Posts:

Posted in My corner of the world, Social Media and the Web | Tagged données, e-mail, facebook, facebook connect, gmail, grave, identification, inconscient, mots de passe, oauth, orange link, orange.ch, safety, securité, texprezzo, textendo, twitter | 6 Comments

Facebook et le web sans se casser les dents

[en] A prezi for a conference I gave to 17-20 year olds in Monthey.

Voici le prezi que j’ai utilisé ce matin pour ma conférence à l’attention des élèves de l’ECCG de Monthey.

Le prezi est un peu laconique bien entendu (ce qui était important, c’est ce que je disais) — mais pour ceux qui étaient là, ça vous donne accès aux liens, et pour ceux qui n’y étaient pas… ça vous donne une vague idée!

Je sais, je sais, les jours passent et je ne blogue pas. Ça va revenir ne vous en faites pas, je commence à sortir la tête de l’eau. Je commence.

Similar Posts:

Posted in Digital Youth, My work | Tagged esprit critique, facebook, google, moteur de recherche, mots de passe, réglages, vie privée | Leave a comment

Mots de passe: moins de naïveté!

[en] I write a weekly column for Les Quotidiennes, which I republish here on CTTS for safekeeping.

Chroniques du monde connecté: cet article a été initialement publié dans Les Quotidiennes (voir l’original).

Je suis régulièrement sidérée de la naïveté avec laquelle le grand public internautique traite ses mots de passe. Alors qu’on se pose des grandes questions sur la disparition de la vie privée puisqu’on est de plus en plus présents en ligne, on fait preuve d’une légèreté effrayante avec l’outil même qui permet de gérer la confidentialité de nos données.

Je vois deux raisons principales à cela:

  • une méconnaissance des risques
  • les instructions pour “faire bien” que nous donnes informaticiens et autres professionnels de la sécurité qui sont, disons-le franchement, quasi-impossibles à respecter tant elles sont exigeantes.

A proscrire:

  • utiliser le même mot de passe partout
  • donner son mot de passe à autrui
  • utiliser comme mot de passe le nom du chien, un mot du dictionnaire, son signe astrologique…
  • entrer son mot de passe ailleurs que sur le site pour lequel il a été prévu (par exemple, quand Facebook vous demande votre mot de passe Gmail… non, non!)

J’en vois déjà qui pâlissent. Ne vous inquiétez pas, j’ai l’habitude de voir pâlir ainsi mes clients.

Mais pourquoi diable faut-il faire si attention? Craquer un mot de passe qui est un mot du dictionnaire, ça prend très peu de temps. Un petit programme qui tourne, et hop, le tour est joué, on est dedans. Une fois que quelqu’un a accès à votre compte, il peut changer le mot de passe pour vous empêcher d’y accéder, et se faire passer pour vous. Imaginez! Quelqu’un d’autre aux commandes de votre e-mail, de votre compte Facebook, de votre Twitter, de votre blog, de votre compte PayPal… Ouille!

Allons droit au but, j’ai quelques conseils pour vous:

  • définissez trois (quatre, en fait) niveaux de sécurité pour vos divers comptes en ligne: finances (PayPal, Amazon, iTunes, banques), identité (blog, serveur, Twitter, Facebook), autres services — et dans un groupe à part, votre e-mail
  • blindez le mot de passe que vous utilisez pour votre e-mail: si quelqu’un rentre dans votre e-mail, il peut changer les mots de passe de tous les services que vous utilisez — le compte e-mail est donc le maillon faible
  • assurez-vous que vous avez des mots de passe solides pour le groupe “finances” et “identité” (au minimum un mot de passe distinct pour ces deux groupes, et différent de l’e-mail)
  • pour les “autres services”, bricolez-vous un algorithme avec un mot de passe de base que vous faites varier en fonction du nom du service (si l’un d’entre eux a des fuites, cela ne compromettra du coup pas tous les autres)
  • en plus des lettres, utilisez majuscules/minuscules, ponctuation, et chiffres dans vos mots de passe (autant que possible!)
  • une méthode pratique: prenez un long mot, et insérez au milieu de celui-ci des chiffres et signes de ponctuation (exemple — à ne pas utiliser! — biblio38!theque)
  • une autre méthode pratique: choisissez une phrase dont vous gardez la première lettre de chaque mot, ainsi que les signes de ponctuation (exemple à ne pas utiliser non plus: J’ai maintenant 3 chats et je vis en Suisse. => J’am3cejveS.)

Allez, au travail! Allez changer au moins les plus importants de vos mots de passe.

Similar Posts:

Posted in Chroniques du monde connecté, Technical | Tagged identité, mots de passe, securité | 7 Comments