A la Une Sécurité

Besoin d’un mot de passe ? En voici 306 millions à éviter

Le chercheur de sécurité Troy Hunt a publié un outil de recherche qui exploite une base de données des mots de passe précédemment compromis. De quoi s’assurer de ne pas réutiliser un mot de passe vulnérable.

Si vous êtes sur le marché pour un nouveau mot de passe unique, Troy Hunt a une bonne idée de ce que vous ne voulez pas.

Hunt, l’expert en sécurité derrière le site Web « Have I Been Pwned », a publié jeudi un outil de recherche contenant 306 millions de mots de passe précédemment compromis. La base de données des mots de passe de l’outil, constituée sur la base de dizaines de violations de données, vise à aider les particuliers et les entreprises à améliorer leur sécurité sur Internet.

Avec la multiplication des fuites de données, il est impératif de choisir des mots de passe capables de résister aux attaques de type force brute ou brute-force. Idéalement, les mots de passe doivent comporter au moins 16 caractères, en combinant chiffres, caractères spéciaux avec des lettres majuscules et minuscules [La Cnil a elle aussi publié son guide de bonnes pratiques concernant les mots de passe].

Mais même le mot de passe le plus sécurisé au monde est inutile s’il est déjà accessible dans la trousse à outils d’un pirate informatique. Le site Web de Hunt permet déjà aux utilisateurs de voir si leur adresse électronique a été exposée dans une attaque – sans les mots de passe associés, bien entendu.

Le nouvel outil renverse ce modèle pour montrer les mots de passe, sans les noms d’utilisateur correspondants. Hunt met en garde contre l’utilisation de l’outil pour tester les mots de passe que vous utilisez déjà, car cela communique une autre option de mot de passe à des tiers.

« J’invite des gens plus compétents en technologie à utiliser ce service pour démontrer un argument à des amis, des parents et des collègues : ‘vous voyez, ce mot de passe a été violé auparavant, ne l’utilisez pas!' » écrit Hunt dans un billet de blog.

« S’il y a une chose que j’ai apprise au cours des années passées à faire tourner ce service, c’est que rien n’a autant d’effet que de voir ses propres données compromises. »

Les directives récentes du NIST (National Institute of Standards and Technology) recommandent que les sites contrôlent les mots de passe potentiels en les comparant aux violations de données antérieures et s’assurent ainsi qu’ils soient totalement uniques. Mais avec une base de données de 306 millions de rejets, en dénicher un d’unique risque de se révéler une tâche ardue.

ZDNet

ARTICLES SIMILAIRES

Laisser un Commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient. Accepter En savoir plus

NEWSLETTER

Inscrivez-vous et recevez régulièrement des arletes par mail

Vos informations ne seront pas partagées