Afin d'empêcher votre mot de passe d'être piraté par les messages sociaux, par force brute ou par des attaques de dictionnaire, et pour protéger votre compte en ligne, vous devez prendre en compte les éléments suivants :

N’utilisez pas les mêmes mots de passe, questions de sécurité et réponses pour plusieurs comptes importants.

Utilisez un mot de passe d'au moins 16 caractères, avec au moins un chiffre, une lettre majuscule, une lettre minuscule et un symbole spécial.

N'utilisez pas le nom de votre famille, de vos amis ou de vos animaux de compagnie dans votre mot de passe. Par exemple, dans certains cas où vous avez plus de 100 bitcoins, vous ne devriez pas laisser personne connaître votre mot de passe, même si vos parents ne sont pas assez fiables.

N'utilisez pas de code postal, numéro de maison, numéro de téléphone, date de naissance, numéro d'identification, numéro de sécurité sociale, etc. dans votre mot de passe.

N'utilisez aucun mot de dictionnaire dans votre mot de passe. Exemples de mots de passe forts : ePYHc~dS*) 8$+V-', qzRtC{6rXN3NRgL, zbfUMZPE6`FC%sZ. Exemples de mots de passe faibles : qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword.

N'utilisez pas deux ou plusieurs mots de passe similaires avec la plupart des caractères identiques, tels que ilovefreshflowersMac, ilovefresh flowersDrop Box, car si l'un de ces mots de passe est volé, cela signifie que tous les mots de passe ont été volés.

N'utilisez pas des mots de passe qui peuvent être clonés (mais pas modifiés), comme les empreintes digitales.

Ne laissez pas votre navigateur Web (Firefox, Chrome, Safari, Opera, IE, Microsoft Edge) stocker vos mots de passe, car tous les mots de passe stockés dans votre navigateur Web peuvent facilement être divulgués.

Ne vous connectez pas à un compte important sur l’ordinateur d’une autre personne et ne vous connectez pas lorsque vous êtes connecté à un hotspot Wi-Fi public, à Tor, à un VPN gratuit ou à un proxy réseau.

N'envoyez pas d'informations sensibles en ligne via des connexions non chiffrées (telles que HTTP ou FTP), car les messages à l'intérieur de ces connexions peuvent être détectés sans effort. Si possible, utilisez des connexions chiffrées telles que HTTPS, SFTP, FTPS, SMTPS, IPSec.

Lorsque vous voyagez, vous pouvez chiffrer votre connexion Internet avant de quitter votre ordinateur portable, tablette, téléphone ou routeur. Par exemple, vous pouvez configurer un VPN dédié avec des protocoles tels que WireGuard (ou IKEv2, OpenVPN, SSTP, L2TP sur IPSec) sur votre propre serveur (ordinateur domestique, serveur dédié ou VPS) et vous y connecter. Alternativement, vous pouvez configurer un tunnel SSH chiffré entre votre ordinateur et votre propre serveur et configurer Chrome ou FireFox pour utiliser un proxy socks. Ensuite, même si quelqu'un utilise un sniffer de paquets pour capturer vos données lors du transfert de données entre votre appareil (comme un ordinateur portable, un iPhone, un iPad) et un serveur, ils ne pourront pas voler vos données et votre mot de passe à partir des données de streaming cryptées.

À quel point mon code est-il sécurisé ? Peut-être pensez-vous que votre mot de passe est fort et difficile à casser. Cependant, si un pirate a volé la valeur de hachage MD5 de votre nom d'utilisateur et de votre mot de passe sur les serveurs de l'entreprise et que la table arc-en-ciel du pirate contient ce hachage MD5, votre mot de passe sera rapidement déchiffré.

　　　　　Pour vérifier la force des mots de passe et savoir s'ils sont dans la table arc-en-ciel populaire, vous pouvez convertir les mots de passe en hachages MD5 sur le générateur de hachage MD5, puis déchiffrer les mots de passe en les soumettant au service de déchiffrement MD5 en ligne. Par exemple, votre mot de passe est "0123456789A" et avec la méthode de craquage par force brute, il peut prendre près d'un an pour que votre ordinateur puisse craquer votre mot de passe, mais si vous déchiffrez le hash MD5 (C8E7279CD035B23BB9C0F1F954DFF5B3) en le soumettant au site de déchiffrement MD5, combien de temps faut-il pour le craquer? Vous pouvez faire le test vous-même.

Il est recommandé de changer le mot de passe toutes les 10 semaines.

Il est recommandé de mémoriser certains mots de passe principaux, de stocker d'autres mots de passe dans un fichier texte brut et de chiffrer ce fichier à l'aide d'un logiciel de chiffrement de disque tel que 7-Zip, GPG ou BitLocker, ou d'utiliser un logiciel de gestion des mots de passe pour gérer vos mots de passe.

Chiffrez et sauvegardez votre mot de passe vers un autre emplacement, puis si vous perdez l’accès à votre ordinateur ou à votre compte, vous pouvez rapidement récupérer votre mot de passe.

Lorsque possible, activez l’authentification en deux étapes.

Ne stockez pas les mots de passe clés dans le cloud.

Accédez à des sites importants (comme Paypal, SNS.show) directement à partir des signets, sinon vérifiez attentivement leur domaine, de préférence vérifiez la popularité du site à l'aide de la barre d'outils Alexa avant d'entrer votre mot de passe pour vous assurer qu'il ne s'agit pas d'un site de phishing.

Utilisez un pare-feu et un logiciel antivirus pour protéger votre ordinateur, en bloquant toutes les connexions entrantes et toutes les connexions sortantes inutiles via le pare-feu. Téléchargez le logiciel uniquement à partir de sites Web réputés et vérifiez, dans la mesure du possible, la somme de contrôle MD5/SHA1/SHA256 ou la signature GPG du paquet d'installation.

Mettez à jour le système d'exploitation de votre appareil (par exemple, Windows PC, Mac PC, iPhone, iPad, tablette Android) et les navigateurs Web (par exemple, Firefox, Chrome, IE, Microsoft Edge) en installant les dernières mises à jour de sécurité.

Si vous avez des fichiers importants sur votre ordinateur et que d'autres personnes ont accès à ces fichiers, vérifiez si nécessaire un enregistreur de clavier matériel (par exemple, un lecteur de clavier sans fil), un enregistreur de clavier logiciel et une caméra cachée.

Si vous avez un routeur WIFI à la maison, vous pouvez connaître le mot de passe que vous avez entré (dans la maison du voisin) en détectant les gestes de vos doigts et de vos mains, car les signaux WIFI qu'ils reçoivent changent lorsque vous déplacez vos doigts et vos mains. Dans ce cas, vous pouvez taper le mot de passe à l'aide du clavier à l'écran, ce qui est plus sûr si ce clavier virtuel (ou logiciel) change de disposition à chaque fois.

Lorsque vous quittez l’ordinateur et le téléphone, verrouillez-les.

Avant de placer des fichiers importants sur le disque dur, utilisez VeraCrypt, FileVault, LUKS ou des outils similaires pour chiffrer l'intégralité du disque dur et, si nécessaire, détruire physiquement le disque dur de l'ancien appareil.

Accès à des sites Web importants en mode privé ou anonyme, ou utilisation d'un navigateur Web pour accéder à des sites Web importants et utilisation d'un autre navigateur pour accéder à d'autres sites Web. Ou visitez des sites Web non essentiels et installez de nouveaux logiciels sur des machines virtuelles créées avec VMware, VirtualBox ou Parallels.

Utilisez au moins 3 adresses e-mail différentes, utilisez la première pour recevoir des e-mails de sites et d'applications importants tels que Paypal, Amazon, SNS.show, utilisez la deuxième pour recevoir des e-mails de sites et d'applications sans importance et utilisez la troisième adresse (de différents fournisseurs de messagerie tels que Outlook et GMail) pour recevoir des e-mails de réinitialisation de mot de passe lorsque la première adresse (comme Yahoo Mail) a été piratée.

Utilisez au moins 2 numéros de téléphone différents et ne dites pas aux autres le numéro de téléphone que vous utilisez pour recevoir des SMS.

Ne cliquez pas sur les liens dans les e-mails ou les SMS et ne réinitialisez pas votre mot de passe en cliquant sur le mot de passe, sauf si vous savez que les messages ne sont pas faux.

Ne dites à personne votre mot de passe par e-mail.

Un logiciel ou une application que vous téléchargez ou mettez à jour peut avoir été modifié par des pirates informatiques, et vous pouvez éviter ce problème en ne pas installer le logiciel ou l'application en premier, à moins qu'il ne soit publié pour corriger une faille de sécurité. Vous pouvez utiliser des applications Web qui sont plus sûres et plus portables.

Soyez prudent lorsque vous utilisez les outils de collage en ligne et les outils de capture d'écran pour ne pas les laisser télécharger votre mot de passe dans le cloud.

Si vous êtes un webmaster, au lieu de stocker les mots de passe des utilisateurs, les questions de sécurité et les réponses en texte brut dans la base de données, vous devez stocker les valeurs de hachage (SHA1, SHA256 ou SHA512) de ces chaînes. Il est recommandé de générer une chaîne de sel aléatoire unique pour chaque utilisateur. En outre, il est préférable d'enregistrer les informations sur l'appareil de l'utilisateur (par exemple, la version du système d'exploitation, la résolution de l'écran, etc.), puis, lorsqu'il tente de se connecter avec le bon mot de passe, mais que ses informations sur l'appareil ne correspondent pas à un mot de passe précédemment enregistré, laissez l'utilisateur vérifier son identité en entrant un autre code de vérification envoyé par SMS ou par courriel.

Si vous êtes un développeur de logiciels, vous devriez utiliser GnuPG pour publier des paquets de mise à jour signés avec une clé privée et vérifier leur signature avec la clé publique précédemment publiée.

Pour assurer la sécurité de votre entreprise en ligne, vous devez enregistrer votre propre nom de domaine et configurer un compte de messagerie avec ce nom de domaine afin de ne pas perdre votre compte de messagerie et tous vos contacts, car vous pouvez héberger votre serveur de messagerie n'importe où et votre compte de messagerie ne peut pas être désactivé par votre fournisseur de messagerie.

Si un site d’achat en ligne ne permet de payer que par carte de crédit, vous devriez utiliser une carte de crédit virtuelle.

Fermez votre navigateur Web lorsque vous quittez votre ordinateur, sinon les cookies peuvent être facilement interceptés par de petits périphériques USB, ce qui vous permet de contourner la vérification en deux étapes et de vous connecter à votre compte sur un autre ordinateur avec un cookie volé.

Ne faites pas confiance et supprimez les faux certificats SSL de votre navigateur Web, sinon vous ne pourrez pas garantir la confidentialité et l'intégrité des connexions HTTPS utilisant ces certificats.

Cryptez toute la partition système, sinon désactivez les fichiers de page et les fonctions d'hibernation, car vos documents importants peuvent être trouvés dans les fichiers pagefile.sys et hiberfil.sys.

Pour éviter les attaques de connexion par force brute sur votre serveur dédié, votre serveur VPS ou votre serveur cloud, vous pouvez installer un logiciel de détection et de prévention d'intrusion tel que LFD (Demon d'échec de connexion) ou Fail2Ban.

40. Si possible, utilisez un logiciel basé sur le cloud plutôt que d’installer le logiciel sur votre appareil local, car de plus en plus d’attaques de la chaîne d’approvisionnement installent des applications malveillantes ou des mises à jour sur votre appareil pour voler vos mots de passe et accéder à vos données hautement confidentielles.

41. Il est préférable de générer une somme de contrôle MD5 ou SHA1 de tous les fichiers sur votre ordinateur (en utilisant un logiciel tel que MD5Summer) et de sauvegarder les résultats, puis de vérifier l'intégrité du fichier chaque jour en comparant la somme de contrôle avec les résultats précédemment sauvegardés (et de trouver le fichier ou le programme de cheval de Troie injecté dans la porte arrière).

42. Chaque grande entreprise devrait mettre en œuvre et appliquer des systèmes de détection d’intrusion basés sur l’intelligence artificielle (y compris des outils de détection d’anomalies de comportement réseau).

43. Seules les adresses IP de la liste blanche sont autorisées à se connecter ou à se connecter à des serveurs et des ordinateurs importants.

44. Saviez-vous que vous pouvez cacher un ou plusieurs fichiers dans un autre fichier? Par exemple, sous Linux, vous pouvez utiliser cette commande "cat file1.mp4 file2hide.gpg>file2.mp4" pour ajouter le fichier file2hide.gpg à la fin du fichier file1.mp4 et générer un nouveau fichier nommé file2.mp4. Le nouveau fichier (file2.mp4) peut toujours être lu sur tous les lecteurs multimédias (comme VLC) et si vous choisissez de se cacher dans un fichier PDF ou FLAC, le fichier de sortie peut également être ouvert avec n'importe quel lecteur de PDF ou de musique sans aucun problème. Pour diviser le fichier de sortie, vous pouvez utiliser la commande "tail" et la commande "split", ou vous pouvez écrire un petit morceau de code pour faire le travail.