Sécurité des connexions : Meilleures pratiques pour stopper les attaques de phishing !

Tutanota fait beaucoup pour protéger votre compte, notamment en appliquant les meilleures pratiques pour la sécurité de votre connexion. Suivez ce guide pour garder tous vos comptes en sécurité.

Follow login security best practices to keep your credentials secure.

Il est difficile de protéger tous vos comptes en ligne contre les attaques malveillantes telles que le phishing. Comme Tutanota crypte toutes vos données à l'aide de votre mot de passe, celui-ci devient le maillon faible et doit être protégé à tout prix. Il est donc crucial que vous preniez le plus grand soin pour optimiser la sécurité de votre connexion. Lisez ce guide rapide pour maximiser la sécurité de vos identifiants de connexion - pas seulement pour Tutanota, mais pour tous vos comptes en ligne.


Sécurité de la connexion

La sécurité de votre connexion dépend de plusieurs facteurs, dont la plupart sont pris en charge par votre fournisseur d’accès. Dans ce guide, nous rassemblons les meilleures pratiques pour protéger vos identifiants de connexion afin de rendre extrêmement difficile la prise de contrôle de votre compte par des attaquants malveillants.

Ce résumé contient également une fonctionnalité importante que vous devez activer pour sécuriser vous-même vos identifiants de connexion : l’authentification à deux facteurs. Mais commençons par quelque chose de simple !

Les facteurs les plus importants pour protéger vos identifiants de connexion sont les suivants :

  1. Des mots de passe forts
  2. Méthode sécurisée de récupération des comptes
  3. Authentification à deux facteurs

1. Application de mots de passe forts

Lorsque vous vous inscrivez à un service en ligne, il est important que ce service vous oblige à choisir un mot de passe fort. Par exemple, lors de l’ouverture d’un compte Tutanota, le système affichera une fenêtre contextuelle indiquant que le mot de passe n’est pas assez sûr si vous choisissez un mot de passe faible. De cette manière, le système s’assure que chaque utilisateur choisit un mot de passe fort.

Un mot de passe fort doit contenir des lettres minuscules et majuscules, des chiffres et des caractères spéciaux et ne doit pas être trop court. Voici d’autres conseils sur la façon de choisir un mot de passe fort.

Par ailleurs, Tutanota n’autorise pas les mots de passe couramment utilisés, tels que “mot de passe”. Malheureusement, d’autres services de messagerie tels que GMX autorisent le mot de passe “password”, ce qui est l’une des pires choses à faire, car cela permet à n’importe quel pirate de prendre le contrôle de comptes d’utilisateurs en devinant simplement le mot de passe.

Tutanota utilise également une protection par force brute à la pointe de la technologie. Le mot de passe est haché avec Bcrypt et salé avec SHA256. Seul le hachage du mot de passe est transmis à nos serveurs, de sorte que même nous, chez Tutanota, ne pouvons pas voir votre mot de passe.

2. Code de récupération pour la réinitialisation des informations d’identification

Outre le choix d’un mot de passe fort, le facteur le plus important lorsqu’il s’agit de sécuriser vos identifiants de connexion est la manière dont votre mot de passe peut être réinitialisé. La plupart des services proposent une réinitialisation du mot de passe par courrier électronique. Bien que cette méthode soit très pratique, elle est tout aussi peu sûre.

Les options de réinitialisation par courrier électronique peuvent fonctionner comme une porte dérobée qui facilite la tâche des attaquants malveillants. Ils peuvent abuser de la fonction de réinitialisation pour prendre le contrôle de comptes en ligne. C’est pourquoi Tutanota ne propose pas de réinitialisation de mot de passe par courrier électronique, mais un code de récupération.

Le code de récupération vous permet de réinitialiser votre mot de passe sans avoir à impliquer quelqu’un d’autre. Il est important que vous notiez votre code de récupération dans un endroit sûr, car chez Tutanota, nous n’avons délibérément pas la possibilité de réinitialiser votre mot de passe. De cette façon, nous nous assurons que nous ne pouvons pas nous emparer de votre compte.

Lorsque vous avez activé le 2FA, vous avez besoin de deux sur trois pour réinitialiser votre mot de passe ou votre deuxième facteur. Vous trouverez les détails dans notre guide pratique.

3. Authentification à deux facteurs

Nous recommandons à tous ceux qui souhaitent protéger leurs identifiants de connexion d’activer au moins un deuxième facteur. L’authentification à deux facteurs est l’une des meilleures pratiques les plus importantes que chaque utilisateur doit activer lorsqu’il se préoccupe de la sécurité de son compte.

Tutanota vous permet d’ajouter plusieurs seconds facteurs. En ajoutant plusieurs seconds facteurs, vous réduisez le risque de perdre l’accès à votre compte email si vous perdez votre second facteur.

Tutanota supporte U2F et TOTP. Nous recommandons de choisir un jeton matériel (U2F) car il s’agit de l’option la plus sûre pour l’authentification à deux facteurs.

Lorsque vous configurez un deuxième facteur, veillez également à noter votre code de récupération. Une fois le code configuré, vous avez besoin de deux codes sur trois pour réinitialiser votre compte au cas où vous en perdriez un. Par exemple, si vous perdez votre deuxième facteur, vous avez besoin de votre mot de passe et de votre code de récupération pour réinitialiser vos identifiants de connexion.

4. Gestion des sessions

La gestion de session est une bonne pratique importante pour sécuriser vos identifiants de connexion. Il vous permet de fermer une session à distance. Par exemple, vous êtes connecté sur votre téléphone, mais vous le perdez. Dans ce cas, vous voudrez fermer cette session à partir d’un autre appareil afin que personne ne puisse accéder à votre compte en ligne s’il s’empare de votre téléphone.

Tutanota prend en charge la gestion des sessions. Vous pouvez fermer une ou toutes les sessions à distance, ou vous pouvez changer votre mot de passe sur un client. Toutes les autres sessions sont alors immédiatement déconnectées, ce qui garantit la sécurité de votre compte même si vous pensez que quelqu’un d’autre pourrait accéder à votre compte via une session active en cours.

Les sessions de connexion actives et récemment fermées sont visibles dans Paramètres -> Connexion. Si nécessaire, vous pouvez activer le stockage des adresses IP de connexion pour contrôler si quelqu’un d’autre accède à votre compte. Cette fonction doit être activée manuellement, les adresses IP stockées sont cryptées et ne peuvent être décryptées que par l’utilisateur.

5. Journal administratif

Lorsque vous utilisez un service en ligne pour votre entreprise, vous souhaitez savoir ce que font les administrateurs. Les administrateurs ont généralement le droit de réinitialiser les mots de passe, etc. Il est donc important de s’assurer que les administrateurs n’abusent pas de ce pouvoir.

Tutanota enregistre toutes les actions administratives. Celles-ci sont visibles dans Paramètres -> Paramètres globaux -> Journal d’audit.

6. Changement de mots de passe

Il est recommandé qu’un utilisateur qui a reçu un compte en ligne ou dont le mot de passe a dû être réinitialisé par l’administrateur change ce mot de passe pour des raisons de sécurité.

Tutanota a l’option de forcer le changement de mot de passe par les utilisateurs s’il a été réinitialisé par un administrateur.

7. Administrateurs multiples

Dans Tutanota, plusieurs utilisateurs peuvent être nommés administrateurs pour contrôler la sécurité du compte Tutanota.

Gardez vos informations d’identification en sécurité

The open source email client. The open source email client.

Dans l’ensemble, Tutanota fait beaucoup pour prendre soin de la sécurité de votre connexion. Si vous activez également l’authentification à deuxième facteur et que vous notez votre code de récupération dans un endroit sûr, toutes les meilleures pratiques pour sécuriser vos identifiants de connexion sont respectées.

Restez en sécurité 😀


Veuillez également lire notre guide sur la sécurité des e-mails pour savoir comment protéger au mieux votre identité en ligne.