Imposer des mots de passe plus forts
Il y a quelques années, Troy Hunt, un chercheur en sécurité, concentra ses recherches sur le problème de la compromission des mots de passe avec HaveIBeenPwned.fr. Troy Hunt a ainsi lancé un service utilisable par tous sur lequel chacun peut vérifier si son mot de passe a été compromis, il a également généreusement rendu disponibles au téléchargement approximativement 517 millions de jeux de données.
En utilisant ces données, GitHub a créé une version interne de ce service pour pouvoir vérifier si le mot de passe d’un utilisateur a été découvert dans n’importe quel set de données provenant d’une faille de sécurité.
L’authentification à deux-facteurs (2FA) et la meilleure manière de l’utiliser
L’utilisation de l’authentification à deux-facteurs est l’une des meilleures manières de se protéger, même quand la complexité d’un mot de passe ou sa sécurité sont faibles. Cependant, l’authentification à deux-facteurs peut-être à double tranchant. En effet, bien qu’elle permette d’assurer un accès à un facteur tel que le mot de passe ou l’adresse email à laquelle le renouvellement du mot passe sera envoyé, ce n’est pas suffisant pour accéder directement au compte souhaité. Perdre l’accès à l’identification à double facteur peut faire perdre l’accès à un compte.
Si l’authentification à double-facteur est autorisée, GitHub peut désormais rappeler aux utilisateurs de vérifier leurs réglages du 2FA ainsi que les options de récupération. GitHub recommande d’utiliser une application de 2FA qui supporte les sauvegardes dans le cloud au cas où le téléphone de l’utilisateur serait perdu, volé ou bien tombé dans l’océan.
Ces nouveautés aideront à améliorer la sécurité pour tous les utilisateurs. GitHub espère ainsi qu’ils profiteront de cette opportunité pour réviser la sécurité de leur compte personnel :
- Mettre à jour son mot de passe en suivant les règles d’unicité d’utilisation et de longueur grâce à un gestionnaire de mots de passe. Considérer l’utilisation d’un gestionnaire basé sur le cloud.
- Utiliser l’authentification à deux-facteurs. L’application TOTP est plus sécurisée que la récupération par SMS mais a plus de chance de mener l’utilisateur à une perte de récupération et donc à un blocage de compte.
- S’assurer d’avoir la possibilité de récupérer les accès au compte même en cas de perte d’accès au support de 2FA. Avoir une clé U2F (Universal Second Factor) est un plus en matière de sécurité au même titre que de s’assurer que les codes de backup 2FA sont dans un endroit sécurisé tel qu’un gestionnaire de mot de passe. GitHub recommande également de relier son compte Facebook via Recover Accounts Elsewhere.
- Mettre à jour son adresse email principale si nécessaire et déterminer si une adresse email de secours est utile. Ces réglages permettront de déterminer quelles adresses mail sont autorisées à récupérer un mot de passe.
- Examiner les autres certificats GitHub. Alors que GitHub supprime les clés SSH, les clés de déploiement, les autorisations OAuth, et les jetons d’accès personnels qui n’ont pas été utilisés après plus d’un an, il est toujours important de les vérifier manuellement de manière périodique.
- Considérer s’inscrire aux notifications HaveIBennPwned. Aucun mot de passe n’y est demandé.