Les mots de passe que vous utilisez sont-ils réellement sécurisés ? Est-ce qu’ils ne circulent pas déjà parmi les pirates ? La question se pose car, ces dernières années, les identifiants de plusieurs milliards de comptes utilisateurs ont été siphonnés dans des bases de données peu sécurisées pour être revendus sous le manteau, notamment sur le darknet.
Depuis quelques mois, le chercheur en sécurité Troy Hunt propose, sur son site haveibeenpwned.com, un service en ligne qui permet de savoir si votre mot de passe a été compromis, en s’appuyant sur une liste de 500 millions de mots de passe provenant de fuites de données passées. C’est sympa, mais pas très pratique au quotidien. L’éditeur Okta vient maintenant de développer PassProtect, une extension Chrome open source qui permet de faire la même vérification, mais de manière automatisée. A chaque fois que vous entrez un mot de passe, elle vérifie que celui-ci ne figure pas dans la base de donnée de Troy Hunt. Le cas échéant, elle affichera une alerte (malheureusement en anglais).
Concernant la procédure de vérification, il n’y a pas d’inquiétude à avoir. Vos mots de passe ne sont jamais envoyés tels quels, ni à Okta, ni à Troy Hunt. L’extension calcule une empreinte SHA-1 du mot de passe puis envoie au serveur de haveibeenpwned.com seulement les cinq premiers caractères de cette empreinte. L’API sous-jacente répond par une liste d’empreintes correspondantes. La vérification finale est alors réalisé côté client. Ce principe, appelé « k-anonymat », permet de préserver la confidentialité de cette donnée extrêmement sensible.
Ceux qui n’auraient quand même pas confiance, et qui ont une âme de bidouilleur, peuvent aussi télécharger directement les 500 millions mots de passe hachés sur le site haveibeenpwned.com et faire les vérifications en local et à la main.
Okta n’est pas le seul à utiliser ce service de vérification. Comme le précise Troy Hunt dans une note de blog, il a également été implémenté dans le gestionnaire de mots de passe 1Password, la plateforme de jeux EVE ou le site du revendeur en ligne Kogan. Désormais, vous n’aurez plus aucune excuse pour utiliser un mauvais mot de passe.
Télécharger:
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.