Troy Hunt est ce que l’on pourrait appeler un ange gardien moderne. L’Australien vient de mettre en ligne une liste comprenant 320 millions de mots de passe, nombre qui correspond à des données à disposition des pirates. Une nouvelle bonne action de l’expert en sécurité fondateur de Have I Been Pwned, site qui vous permet de vérifier si vous avez été victime d’une cyberattaque.
Une des pratiques utilisées par les pirates pour accéder à un compte, est celle consistant à se servir d’une liste répertoriant des mots de passe fréquemment utilisés jusqu’à ce que la machine tombe sur le bon. Lorsque les internautes ont la malchance d’en utiliser un commun, ils augmentent considérablement la probabilité d’être piraté.
Mise en garde avant utilisation
Pourtant l’outil prodigieux mis à disposition par Hunt doit être manipulé avec précaution. Toujours dans un souci de sécurité, l’expert conseille sur son blog de ne pas y entrer ses mots de passe actuels, mais ceux qui ne sont plus utilisés. Cela afin d’éviter que d’autres malfaisants ne parviennent à récupérer ces précieuses données. Le plus sûr étant alors de télécharger la liste (elle pèse plus de 5 Go) et de scruter les mots de passe tranquillement hors du site.
Enfin si vous avez décidé de changer de mots de passe, mais ne savez absolument pas par quoi les remplacer, la CNIL propose une leçon de rattrapage pour tous les intéressés. .
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Dans l’idéal il faudrait déjà que tous les sites implémentent par défaut une fonctionnalité de blocage de compte après X tentatives erronées qui force la réinitialisation du mot de passe, c’est le plus simple pour se protéger d’attaque “brute force” puisque après X essais le compte n’est plus accessible avec le mot de passe défini, seul les comptes dont le mot de passe et testé dans les X premières tentatives seront compromis.
Ouais mais du coup si tu brute force les noms d’utilisateurs, tu peux bloquer tout le trafic du site en obligeant tous les utilisateurs à réinitialiser leur mot de passe ^^”
+1 Ce qu’il faut c’est un blocage de 10-30 min ca suffit a empêcher les brut force
c’est pour ca que les pirates utilise le pishing, ou des attaques mitm pour soit recupe me mot de passe en clair soit recuperer le hash et les cracker hors ligne par dictionnaire ou signature md5
Ou comment faire une page pour recueillir les mots de passes actuels. Puis ensuite recouper ton IP et le MDP entré avec les IP des diverses fuites, et tester le nouveau mot de passe.
😀
Je me suis dis la même chose ! Cela dit j’ai essayé un de mes vieux mots de passes que je mettais tout le temps il y a quelques années. Il était dans la liste… Heureusement je ne l’utilise plus du tout.
clairement on ne sait pas qui récolte les saisies sur cette page … c’est vraiment le meilleur moyen de donner son mot de passe bêtement …
Effectivement, ce n’est pas forcement une bonne idée…
D’ailleurs sur https://password.kaspersky.com/ pour vérifier la force d’un mot de passe, eux, ils indiquent bien “Never enter your real password
This service exists for educational purposes only – Kaspersky Lab is not storing or collecting your passwords.”
Dans tous les cas rien ne vaut l’utilisation d’un gestionnaire de mot de passe… De préférence local comme Keepass (avis perso), mais avec pour lui un bon gros mot de passe changé au moins chaque années et un fichier clé (et un backup discret sur le cloud et/ou une clé USB), car idéalement, il faudrait des mots de passes différents pour chaque inscriptions/comptes et leur donner une date d’expiration pour les “services sensibles”
?
Il y a aussi des services 100% Cloud… Mais bon, si ces derniers se font hacker, car votre PC, les hackers, ils en ont un peu rien à faire, ils vont pas chercher à vous attaquer vous, directement… Alors qu’un service de gestion de mots de passe, hummm appétissant pour les black hats :p
De toute façon un robot n’arrivera jamais a testé 320 millions de mots de passe avec toutes les sécurités actuels antibot sur les formulaires. Si il arrive en check 100 en moins de 1 minutes, c’est que le site est codé avec les pieds.
Tiens je viens de créer un site web pour savoir si votre numéro de carte bleu a été piraté. Venez vérifier !
“En 2016, « 123456 » était encore le mot de passe le plus utilisé par les” abrutis.
Je me suis permis de corriger 🙂
Le gars aurait pu mettre la liste directement consultable sur un site.
Il l’a fait et c’est en lien dans l’article. Même qu’il publie une API et permet de télécharger la base de donnée. Bref, RTFM comme on disait à un moment …
p…j’arrive pas à ouvrir le fichier que j’ai téléchargé fichier de 5 Go en 7z …
Moi non plus.
Apparemment il faut déhasher le fichier à l’aide de la clé sha1 fournie. Par contre comment faire ça ? Aucune idée. Peut-être avec un logiciel. Quelqu’un qui a réussi peut me répondre svp ?