passLe site haveibeenpwned.com permet de vérifier si un mot de passe circule déjà dans les recoins du cybercrime. Le cas échéant, il faut s’en débarrasser et en trouver un autre.

La prochaine fois que vous changez de mot de passe, il peut s’avérer utile de perdre quelques minutes pour aller sur le site haveibeenpwned.com. Créé en 2013 par le chercheur en sécurité Troy Hunt, il permet de vérifier si son adresse e-mail ne fait pas partie d’un ou plusieurs lots de données piratées qui circulent sur la Toile. Le cas échéant, les victimes peuvent réagir en conséquence et, par exemple, changer de mot de passe pour protéger leurs comptes. Cette vérification s’appuie justement sur ces bases de données qui circulent et dont Troy Hunt a réussi à obtenir une copie.

Depuis le mois d’août, le chercheur en sécurité a ajouté un nouveau service également très pratique : « Pwned Passwords ».  Le principe est enfantin : vous insérez votre mot de passe et le site vous dit si celui-ci figure dans l’une de ces bases de données piratées. Si c’est le cas, c’est évidemment une très mauvaise nouvelle. Il est alors quasiment certain que ce code secret est bien connu par cybermalfrats et fasse désormais partie d’un système d’attaque par dictionnaire. La sécurité de ce mot de passe est donc faible. Mieux vaut en choisir un autre.

Quelques rapides tests montrent par exemple que des mots de passe simplistes comme « toto123 » ou « macron69 » sont compromis. Idem pour « pa$$w0rd », « r00t », « mdp69 », « rex123 », etc. Par conséquent, tous ces codes ne doivent PLUS JAMAIS être utilisés. L’inverse, en revanche, n’est pas vrai. Ce n’est pas parce que votre mot de passe n’est pas référencé par le service de Troy Hunt que vous êtes forcément tranquille.

En effet, les pirates n’utilisent pas seulement des dictionnaires, mais aussi des algorithmes de calcul qui vont essayer de trouver le sésame par combinaisons successives.

Utiliser une série de mots communs pour créer un une passe-phrase est déjà une meilleure idée. Mais le meilleur mot de passe reste une suite aléatoire de lettres, de chiffres et des caractères spéciaux. Exemple : « w7%gSEJgv9U% ». Seul souci, comme il est impossible de se souvenir d’une telle succession de caractères, il est conseillé d’utiliser un gestionnaire de mots de passe.

http://www.01net.com

This Post Has Been Viewed 126 Times