Dans le monde du web, la sécurité devient de plus en plus importante. D’une part car nous donnons beaucoup d’informations à des parties tierces et d’autre part car le piratage de données est de plus en plus courant. Cependant, une solution existe afin de savoir si notre mot de passe est fiable ou non : Pwned Passwords.*

Il faut savoir que de nombreuses entreprises laisse fuiter des milliers de mots de passe dans la nature venant enrichir les bases de données de certains hackers. Pour remédier à cela, Troy Hunt, un ingénieur en sécurité chez Microsoft a mis au point un service en ligne capable de savoir parmi 500 millions de mots de passe, si le vôtre est vulnérable ou pas.

Si vous voulez faire le test, c’est très simple : il vous suffit de taper un de vos mots de passe dans le champ de recherches et de cliquer sur « pwned? ». Si l’écran s’affiche en rouge avec la mention « Oh no – pwned! », votre mot de passe fait déjà partie d’une fuite de données et le logiciel vous dit le nombre de fois où il est apparu dans différentes sources.

Si vous vous amusez à taper 123456, le résultat est assez surprenant !

À l’inverse, si l’écran devient vert avec la mention « Good news – no pwnage found! » alors votre mot de passe n’a pas fuité. Cela ne veut pas dire pour autant que votre mot de passe est 100% sécurisé et ne doit pas être changé tous les 3 à 6 mois.

Ce mot de passe confidentiel que nous avons tapé n’a fuité dans aucune base de données

Attention toutefois, rentrer un mot de passe sur un site web de ce type peut être dangereux mais Pwned Passwords est reconnu dans le milieu pour être un service sécurisé. Le créateur explique qu’au moment où vous taper le mot de passe, celui-ci n’est pas stocké ou envoyé au service mais hashé automatiquement avec l’algorithme SHA–1, ce qui le transforme en une suite de codes, exemple :  «27YT12DC425F740EE76F27B78EB39C8AD910BN76 »

Les cinq premiers caractères du hash, en l’occurrence ici « 27YT1 » sont envoyés et comparés aux hashs des 500 millions de mots de passe recensés. Le début de hash fait partie d’un grand nombre de mot de passe et non d’un seul ce qui permet à l’algorithme de ne pas stocker vos données. Vous pouvez donc savoir si votre mot de passe fait partie de la base de données du service sans que celui-ci ne sois affecté. Pour prouver sa fiabilité, le gestionnaire de mot de passe 1Password a jugé Pwned Passwords fiable et sécurisé et l’application commence même à l’intégrer à son service.

Si vous ne faites pas confiance à ce type de site internet, Troy Hunt propose de télécharger sa base de données de 500 millions de hash de mots de passe pour l’utiliser localement sur votre ordinateur. Il a aussi mis au point un système pour vérifier si votre adresse mail ou votre pseudo fait partie d’une fuite de données, pour le tester c’est ici.

*Cervosgeek est en aucun cas responsable des problèmes rencontrés avec ce site web. Nous relatons seulement l’information qui peut être utile pour certains utilisateurs mais nous ne garantissons pas la sécurité à 100% de ce genre de pratique.