Mot de passe Google: comment vérifier la sécurité des identifiants
La sécurité des comptes que vous possédez et la protection de votre identité numérique passent par l’attention qui est dédiée à la gestion des identifiants d’accès et à leur stockage correct. Choisir un mot de passe suffisamment sécurisé (voir Créer un mot de passe sécurisé: la Journée mondiale du mot de passe est aujourd’hui) est certes une bonne chose mais l’utilisation d’une forme de authentification fiable à deux facteurs et simple d’utilisation permet aujourd’hui d’avoir plus de garanties.
Avec l’authentification à deux facteurs, même dans le cas où un attaquant entrerait en possession du nom d’utilisateur et du mot de passe corrects, il ne pourra toujours pas accéder au compte de l’autre: l’utilisation de clés FIDO2 comme deuxième facteur est certainement recommandée (Compte sécurité, comment l’améliorer avec les clés FIDO2) même si la validation des tentatives d’accès à l’aide du smartphone est une solution pratique qui peut être immédiatement activée par tout le monde (la fonction de protection Message Google est un excellent exemple: Vérification en deux étapes: quel est le mode le plus sûr).
L’utilisation d’applications telles que Google Authenticator ou Microsoft Authenticator permet de lier l’accès à des comptes, au moins à partir d’appareils autres que ceux généralement utilisés, à l’insertion d’un code avec une expiration à très court terme (OTP, Mot de passe à usage unique) généré sur l’appareil mobile de l’utilisateur.Les identifiants d’accès peuvent être volés non seulement à la suite d’erreurs, d’inexpérience ou de négligence, mais peuvent parfois être extrapolés par des cybercriminels sur les serveurs des différents opérateurs de services en ligne. C’est pourquoi il est essentiel que vous n’utilisiez jamais les mêmes mots de passe pour protéger différents services.
Services comme Ai-je été pwned ils permettent aux utilisateurs de savoir si leurs identifiants de connexion sont malheureusement tombés entre les mains de cybercriminels suite à des agressions subies par des prestataires de services et des gestionnaires.
Ai-je été pwned garde une trace de toutes les archives contenant des listes de noms d’utilisateur et de mots de passe qui sont apparus sur le réseau au fil du temps: en tapant votre adresse e-mail dans le champ de recherche, vous pouvez savoir si vos informations d’identification personnelles étaient entre les mains de criminels et prendre des mesures pour les modifier .
Dans l’article Mots de passe piratés ou non sécurisés: comment vérifier les vôtres, nous avons même vu comment télécharger les listes de Ai-je été pwned et vérifiez tous vos mots de passe dans ces listes.
Ai-je été pwned gère et met à jour périodiquement une deuxième base de données contenant les mots de passe des utilisateurs sous la forme de hacher (et sans rapport avec le nom d’utilisateur respectif ou avec les services en ligne sur lesquels ils étaient utilisés).
En recherchant vos mots de passe dans cette base de données (avant hachage), il est possible d’obtenir des informations intéressantes sans transmettre aucune donnée à des serveurs distants gérés par des tiers.
Une fonction hacher il n’est pas inversible: à l’aide d’un algorithme spécifique, une chaîne de longueur prédéfinie est créée à partir d’une chaîne de longueur arbitraire.
L ‘hacher d’un mot de passe ne permet pas de tracer le mot de passe en texte clair (au moins en utilisant les algorithmes de hachage plus sûr) et peuvent donc être transmis en toute sécurité à des services tels que Ai-je été pwned.
Mot de passe Google ou la recette pour vérifier vos identifiants sans aucun effort
Inspiré par un service comme Ai-je été pwned, Google a d’abord lancé une extension Chrome qui analyse les informations d’identification stockées dans le gestionnaire de mots de passe intégré dans le navigateur et alerte les utilisateurs si l’un d’entre eux est entre les mains de cybercriminels.
Par la suite, Google a dévoilé le service Vérification de mot de passe (Vérification du mot de passe en anglais): accessible depuis le web (donc libéré du navigateur), le service permet de vérifier si un ou plusieurs identifiants d’accès étaient entre les mains de cyber-attaquants.
L’outil Google vérifie également si l’utilisateur a réutilisé le même mot de passe sur plusieurs services en ligne ainsi que la robustesse de chacun d’entre eux.
Dans le cas de Vérification de mot de passe les informations d’identification que Google vérifie sont celles stockées sous forme cryptée sur les serveurs de la société Mountain View et synchronisées via un navigateur sur des systèmes de bureau ou à partir de navigateurs ou d’applications sur des appareils mobiles.
Les mots de passe sont stockés dans le cloud lorsque vous activez la synchronisation Chrome, à la fois sur les ordinateurs de bureau et les appareils mobiles: nous en avons longuement parlé dans l’article Synchroniser Chrome, ce que signifie accéder aux données de plusieurs appareils.
Comment dans le passé on l’appelait Smart Lock pour les mots de passe est une fonctionnalité qui permet aux utilisateurs de stocker les informations de connexion pour les différentes applications installées sur les appareils mobiles sur les serveurs de Google.
La liste des services dont les mots de passe du compte utilisé sont connus de Google est affichée sur cette page. Dans la partie inférieure de celui-ci sont indiqués les sites et les mots de passe connus de Google.
Comment démarrer le vérificateur de mot de passe dans Chrome
Même ceux qui n’ont pas activé la synchronisation des identifiants avec les serveurs Google peuvent toujours bénéficier de la vérification du mot de passe.
Les dernières versions de Chrome vous permettent de vérifier la sécurité des mots de passe stockés dans le gestionnaire de mots de passe du navigateur simplement en tapant chrome: // paramètres / mots de passe dans la barre d’adresse puis en cliquant sur le bouton Vérifier le mot de passe.
Comme nous l’avons expliqué ci-dessus, en utilisant le même schéma que Ai-je été pwned, les noms d’utilisateur et les mots de passe sont transmis en toute sécurité – jamais en texte clair – et surtout à l’aide d’une fonction hachage. De cette manière, même Google ne peut pas retracer les mots de passe des utilisateurs individuels.
Google a également souligné à plusieurs reprises qu’aucun des outils présentés ci-dessus ne transférait d’informations sur les comptes, les noms d’utilisateur, les mots de passe et les appareils utilisés afin d’identifier de manière unique les utilisateurs et leurs appareils.
La société Mountain View a néanmoins confirmé la collecte et l’enregistrement de données anonymes sur les noms de domaine auxquels se réfèrent les rapports éventuellement présentés aux utilisateurs. En d’autres termes, si l’utilisateur utilisait des informations d’identification non sécurisées, il en serait informé et le domaine serait transmis en texte clair à Google. En général, cependant, les noms de domaine peuvent passer en texte clair sans problème tandis que toutes les autres données doivent être correctement cryptées et anonymisées (voir également cette analyse).
Une fois les mots de passe vérifiés, l’outil intégré à Chrome indique quels mots de passe ont certainement été violés et lesquels ne sont pas sécurisés car, par exemple, ils ne répondent pas aux exigences de sécurité minimales (c’est-à-dire des mots de passe vulnérables aux attaques basées sur des dictionnaires, des mots de passe simples et facilement « devinables », des mots de passe courts, …). Dans les deux cas, vous devez procéder rapidement à la modification des mots de passe eux-mêmes, à la recherche de tout signe de compromission des différents comptes.
Google signalera également les mots de passe utilisés pour accéder aux appareils connectés au réseau local (routeurs, commutateurs, points d’accès, …) comme inefficaces. Ces mots de passe sont en fait des choix simples afin de faciliter l’accès aux différents appareils sur le LAN.
Dans ce cas, ce n’est pas une erreur d’être surligné en bleu tant que le réseau local est correctement protégé et que l’accès aux périphériques à administrer est limité à un nombre limité d’hôtes.
En règle générale, cependant, il serait toujours préférable de choisir des mots de passe forts, même pour les appareils connectés au réseau local.
En cliquant sur les trois points à droite des mots de passe rapportés puis sur Montrer le mot de passe vous pouvez vérifier à quoi ressemble chaque mot de passe.
Dactylographie chrome: // paramètres / sécurité dans la barre d’adresse Chrome et en sélectionnant l’option Protection avancée le navigateur Google vérifiera automatiquement, périodiquement, la sécurité des identifiants utilisés.
En cas de mots de passe compromis ou d’utilisation de mots de passe inefficaces, Chrome affichera une fenêtre contextuelle pour attirer l’attention de l’utilisateur.
Sinon, en choisissant Protection standard le chèque peut être demandé par l’utilisateur.
Comment récupérer un mot de passe dont vous ne vous souvenez plus
Si vous ne vous souvenez plus d’un mot de passe pour accéder à un service spécifique, vous pouvez vous référer au gestionnaire de mots de passe de Chrome simplement en tapant chrome: // paramètres / mots de passe dans la barre d’adresse et en cliquant sur l’icône Montrer le mot de passe. Pour l’afficher, il vous suffit de saisir le mot de passe du compte utilisateur utilisé (par exemple le mot de passe du compte Windows) ou le code PIN utilisé pour accéder au système d’exploitation lorsqu’il est configuré.
le gestionnaire de mots de passe d’un navigateur Web doit toujours être considéré comme intrinsèquement non sécurisé, du moins vis-à-vis de ceux qui ont la disponibilité physique de l’appareil de l’utilisateur (notebook, smartphone, tablette, …). Voir, à ce propos, les articles Firefox password manager: mot de passe maître devinable en quelques minutes et Mot de passe oublié, comment trouver celui de Windows, Gmail et autres services.
Pour récupérer à la volée un mot de passe stocké dans le gestionnaire de mots de passe de Chrome, sans même saisir celui utilisé pour protéger le compte utilisateur utilisé, il suffit de cliquer avec le bouton droit de la souris sur le champ Mot de passe (celui qui montre les « points »), choisissez Inspecter puis éditez la balise HTML contribution: remplacement texte à le mot de passe dans l’attribut Taper, le mot de passe sera lu en texte clair: Le navigateur affiche le mot de passe masqué par des points ou des astérisques: pas de problème.
Dans le cas des systèmes Windows, il est essentiel de protéger l’accès avec BitLocker et un mot de passe à saisir au démarrage (et lors du retour d’hibernation ou de suspension): BitLocker, comment protéger les données sur les disques durs et les SSD et demander un mot de passe au démarrage.
Certaines clés FIDO2, comme la série YubiKey 5 de Yubico ils vous permettent également de gérer les jetons logiciels avec leurs mots de passe « uniques » qui sont stockés sur la clé. Avec un appareil comme YubiKey 5 vous pouvez connecter la clé à n’importe quel appareil et vérifier immédiatement tous les enregistrements OATH (Initiative pour l’authentification ouverte) configuré.
Découvrez encore plus d’articles dans nos catégories Internet, productivité & Ordinateurs et internet.
Merci pour votre visite on espère que notre article Mot de passe Google: comment vérifier la sécurité des identifiants
vous aide, n’oubliez pas de partager l’article sur Facebook, instagram et e-mail avec les hashtag ☑️ #Mot #passe #Google #comment #vérifier #sécurité #des #identifiants ☑️!