Have I Been Pwned est une vieille connaissance des lecteurs de PerlmOl : le service est maintenu par le chercheur en sécurité Troy Hunt et vous montre quels sont les comptes qui ont eu une fuite du nom d’utilisateur ou de l’adresse électronique que vous avez l’habitude d’utiliser. Cette fois, il a fait quelque chose d’un peu différent : il a dressé une liste des 306 259 512 combinaisons uniques qui ont déjà fait l’objet d’une fuite.
On lit toujours que les mots de passe comme “123456” et “password” sont les plus utilisés dans les enregistrements, ce qui fait de nombreux utilisateurs des cibles faciles. Le problème est que même si vous avez une combinaison plus complexe, comme ? ?, vous pouvez être en danger : elle peut déjà avoir fui à cause d’un service quelconque, et cela rend les attaques par dictionnaire de force brute beaucoup plus faciles.
Il est donc bon d’éviter d’utiliser une combinaison qui a fait l’objet de fuites dans le passé. Dans Pwned Passwords, vous pouvez entrer votre propre mot de passe et découvrir s’il est déjà tombé entre de mauvaises mains. Dans le passé, j’ai adopté une combinaison standard dans des services moins importants, et j’ai constaté qu’il y avait des fuites ? heureusement, il n’y a rien d’autre avec ce mot de passe à mon nom.
Et si vous ne faites pas confiance à Have I Been Pwned et ne voulez pas continuer à taper vos mots de passe sur une page web, très bien : un fichier texte de 5,6 Go a été publié pour que vous puissiez faire les vérifications vous-même. N’oubliez pas que tout est caché derrière le hachage SHA1, puisque certains mots de passe contiennent des informations personnelles telles que la date de naissance ou l’adresse électronique.