De nombreux sites Web ont divulgué des mots de passe. Un attaquant peut télécharger des bases de données de noms d'utilisateur et de mots de passe et les utiliser pour « pirater » votre compte. C'est pourquoi vous ne devriez pas réutiliser les mots de passe des sites importants, car un site avec une fuite de mot de passe pourrait donner aux attaquants tout ce dont ils ont besoin pour se connecter à d'autres.
Ai-je été pwned?
Ai-je été pwned? par Troy Hunt maintient une base de données de combinaisons de noms d'utilisateur et de mots de passe provenant d'exploits publics. Ils proviennent de violations accessibles au public et pouvant être trouvées sur divers sites Web sur le net ou sur le dark web. Cette base de données aide uniquement les utilisateurs à vérifier leurs mots de passe sans avoir à accéder à d'autres parties du site Web.
Pour utiliser cet outil, accédez à la page principale Have I Been Pwnd ? (haveibeenpwned.com) et recherchez des noms d’utilisateur ou des adresses e-mail. Les résultats vous indiquent si votre nom d’utilisateur ou votre adresse e-mail est déjà apparu dans une base de données divulguée. Répétez ce processus pour vérifier d’autres adresses e-mail ou noms d’utilisateur. Vous verrez quels mots de passe ont été divulgués à partir d'adresses e-mail ou de noms d'utilisateur, vous donnant ainsi des informations sur les mots de passe qui pourraient avoir été compromis.
Si vous souhaitez recevoir des notifications par e-mail lorsque votre adresse e-mail ou votre nom d'utilisateur apparaît sur un site en infraction, cliquez sur le lien « M'avertir lorsque je suis pwned ».
Vous pouvez également rechercher un mot de passe pour voir s'il est apparu dans l'une des fuites. Accédez à la page Mots de passe Pwned (haveibeenpwned.com/Passwords) sur le site Web Have I Been Pwned ?, entrez le mot de passe dans la case et cliquez sur le bouton « pwned ? ». Vous verrez si le mot de passe se trouve dans l'une de ces bases de données et combien de fois il a été vu. Répétez ce processus si vous souhaitez vérifier d'autres mots de passe.
Attention : Vous ne devez pas saisir votre mot de passe sur des sites tiers qui vous le demandent car ils pourraient être utilisés pour voler votre mot de passe si le site est malhonnête. Vous ne devez utiliser que le site Web Have I Been Pwned ? largement fiable et explique comment votre mot de passe est protégé. En fait, le gestionnaire de mots de passe populaire 1Password dispose désormais d'un bouton qui utilise la même API que le site Web, de sorte qu'il envoie une copie hachée du mot de passe au service. Si vous souhaitez vérifier si votre mot de passe a été divulgué, c'est le service que vous devez utiliser.
Si un mot de passe important que vous utilisez a été divulgué, vous devez le modifier immédiatement. Les utilisateurs doivent utiliser un gestionnaire de mots de passe pour définir facilement des mots de passe forts et uniques pour chaque site Web important qu'ils utilisent. L'authentification à deux facteurs peut également aider à protéger les comptes importants, car elle empêchera les attaques d'y accéder sans codes de sécurité supplémentaires, même si elles connaissent le mot de passe.
Dernier passage
LastPass possède une fonctionnalité similaire intégrée à Security Challenge. Pour y accéder depuis l'extension de navigateur LastPass, cliquez sur l'icône LastPass dans la barre d'outils du navigateur, puis sélectionnez Plus d'options > Défi de sécurité.
LastPass trouve une liste d'adresses e-mail dans la base de données et vous demande si vous souhaitez vérifier si elle est déjà apparue sur des sites de fuite. Si vous êtes d'accord, LastPass les vérifie dans la base de données et vous envoie des informations sur toute fuite par e-mail.
LastPass fournit également ici un aperçu des mots de passe « compromis ». Cette liste vous indique quels sites ont subi des failles de sécurité depuis la dernière modification de votre mot de passe sur ce site, ce qui signifie que votre mot de passe peut être exposé. Vous devez changer votre mot de passe pour tout site qui apparaît ici.
1Mot de passe
La version Web du gestionnaire de mots de passe 1Password peut désormais vérifier si vos mots de passe ont été divulgués. En fait, 1Password utilise le même service que Have I Been Pwned ?. Il dispose d'un bouton « Vérifier le mot de passe » intégré qui envoie automatiquement le mot de passe au service et fournit des commentaires. En d’autres termes, cela fonctionne de la même manière que l’utilisation du site Web Have I Been Pwned ?.
Si vous êtes un utilisateur 1Password, vous pouvez profiter de ce service en vous connectant à votre compte sur 1Password.com. Cliquez sur " Ouvrir Vault " puis cliquez sur l'un de vos comptes. Appuyez sur Shift + Control + Option + C sur Mac ou Shift + Ctrl + Alt + C sur Windows, et vous verrez un bouton « Vérifier le mot de passe » pour vérifier si votre mot de passe apparaît dans la base de données Have I Been Pwned ? ou non. Il s'agit d'une nouvelle fonctionnalité expérimentale, elle est donc masquée pour le moment, mais elle devrait être mieux intégrée dans les futures versions de 1Password.
Cette fonctionnalité sera également intégrée à la fonctionnalité Watchtower de 1Password à l'avenir. La fonction Watchtower vous avertit depuis l'application 1Password si l'un de vos mots de passe enregistrés peut être vulnérable et doit être modifié.
La chose la plus importante que vous puissiez faire est de ne pas réutiliser les mots de passe, du moins pour les sites importants. Les comptes de messagerie, de banque en ligne, d'achats, de réseaux sociaux, d'entreprise et autres comptes importants doivent tous avoir leurs propres mots de passe, afin qu'une fuite de site Web ne mette en danger aucun autre compte. Les gestionnaires de mots de passe aident à créer des mots de passe particulièrement forts, vous évitant ainsi d'avoir à mémoriser une centaine de mots de passe différents.
En savoir plus :
