306 millions de mots de passe devenus inutilisables

Le par  |  11 commentaire(s)
password

Un nouvel outil Pwned Passwords fait son apparition sur le site Have I been pwned?. Quelque 306 millions de mots de passe repérés dans des fuites de données.

Have I been pwned? (HIBP) est une création de l'expert en sécurité australien Troy Hunt (et qui travaille chez Microsoft). En saisissant une adresse email ou un nom d'utilisateur, ce service permet notamment aux internautes de savoir si un compte a été compromis en apparaissant dans une fuite de données, sans révéler un mot de passe associé.

HIBP vient de se doter d'une nouveauté baptisée Pwned Passwords qui rend cette fois-ci les mots de passe consultables sans les identifiants associés. Une collection de 306 millions de mots de passe " du monde réel " englobant plus d'un milliard de comptes qui ont été exposés dans des fuites de données.

Pour autant, Troy Hunt indique qu'il ne faut pas envoyer un mot activement utilisé à un service tiers… y compris à HIBP même si celui-ci est manifestement digne de confiance. L'outil Pwned Password ne devrait ainsi être employé que pour vérifier des mots de passe qui ne sont plus utilisés.

Pwned-Password-1

Dans un billet de blog, l'expert en sécurité écrit que le service pourrait être utilisé pour faire la démonstration à un ami ou collègue qu'il ne faut pas avoir recours à un tel mot de passe pris en exemple dans la mesure où il a déjà été compromis.

Troy Hunt imagine aussi que des fournisseurs de services pourront s'appuyer sur les données pour par exemple inciter une personne enregistrant un nouveau compte à ne pas opter pour un mot de passe qui a été compromis par le passé. L'idée n'est pas nouvelle mais c'est ici à une grande échelle.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1975754
Je comprends pas trop, mon mail yahoo a été compromis mais le mot de passe qui était associer ne l est pas
Le #1975757
jsuis pas pwnd
Le #1975759
J'ai testé quelques vieux mots de passe, et aucun n'a été pwnd dans mon cas.
Le #1975760
un nouveau jouet pour espionner le monde!!!
Le #1975768
jojo22 a écrit :

Je comprends pas trop, mon mail yahoo a été compromis mais le mot de passe qui était associer ne l est pas


Quand ils disent que l'adresse est "pwned", elle ne l'est pas forcément. Ça veut juste dire qu'un des services sur lesquels on s'est inscrit a eu une compromission ou autre problème de sécurité et qu'il y a un risque.

Pour moi par exemple j'ai tapé une adresse Hotmail, ça m'a dit "pwned" sur Gpotato car Gpotato a eu une fuite de 2 millions de comptes en 2007, et comme je ne me sert plus de ce truc, que je sais que j'ai mis un mot de passe unique, et que je n'ai pas mis d'informations persos, je me fous que ça ai pu être "pwned".
Le #1975788
Troy Hunt ne travaille pas chez Micorsoft. C'est juste un Microsoft Regional Director.

https://www.troyhunt.com/microsoft-regional-director/
Le #1975790
Mes mots de passe sont utilisés sur site unique. Un site = un mot de passe. Pour le moment, ils sont encore sûrs. Faut voir à l'avenir s'ils ne seront pas corrompus
Le #1975817
L'outil Pwned Password ne devrait ainsi être employé que pour vérifier des mots de passe qui ne sont plus utilisés.
Lol, le but di jeu est quand même de savoir si nos mots de passe actuels sont compromis non ?! Sinon quel est l’intérêt ? Qu'est ce que j'en ai à carrer de savoir qu'un de mes ancien mot de passe a été compromis !
Le #1975824
GGpog a écrit :

L'outil Pwned Password ne devrait ainsi être employé que pour vérifier des mots de passe qui ne sont plus utilisés.
Lol, le but di jeu est quand même de savoir si nos mots de passe actuels sont compromis non ?! Sinon quel est l’intérêt ? Qu'est ce que j'en ai à carrer de savoir qu'un de mes ancien mot de passe a été compromis !


Tu peux aussi télécharger la liste des mots de passe juste en-dessous apparemment.
Le #1975983
Castiel a écrit :

GGpog a écrit :

L'outil Pwned Password ne devrait ainsi être employé que pour vérifier des mots de passe qui ne sont plus utilisés.
Lol, le but di jeu est quand même de savoir si nos mots de passe actuels sont compromis non ?! Sinon quel est l’intérêt ? Qu'est ce que j'en ai à carrer de savoir qu'un de mes ancien mot de passe a été compromis !


Tu peux aussi télécharger la liste des mots de passe juste en-dessous apparemment.


Ah bin ok alors. Le plus fun serait que ce ne soit pas trié par ordre alphabétique
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]