Mots de passe piratés ou non sécurisés: comment vérifier le vôtre
Nous expliquons ce que cela signifie si les identifiants pour accéder aux différents services en ligne (email et mot de passe) étaient présents dans les bases de données de Ai-je été pwned, donc connue des cybercriminels. Comment se comporter pour vérifier la sécurité des mots de passe.
Il existe un service sur le net, connu depuis des années et très apprécié, qui vous permet de comprendre si leurs comptes utilisateurs ont été impliqués dans une attaque. Il s’appelle Ai-je été pwned, où est-ce pwned en anglais, c’est l’abréviation de « parfaitement possédé« ou » parfaitement / complètement possédé « .
Pourquoi cette langue? pouquoi Ai-je été pwned est une base de données qui contient des informations sur tous les comptes d’utilisateurs dans le monde qui ont été impliqués dans le vol de données par des cybercriminels sur divers sites Web complètement différents les uns des autres.
Essayez de visiter la page d’accueil de Ai-je été pwned et saisissez votre adresse e-mail dans le champ de recherche (adresse e-mail): ne vous inquiétez pas, le site est sécurisé et personne n’utilisera votre compte de messagerie pour vous envoyer du spam.
Le service vous répondra immédiatement avec la phrase Bonne nouvelle – aucun pwnage trouvé! sur fond vert ou avec la formule Oh non – pwned! sur fond rouge.
Dans le premier cas, cela signifie qu’aucun compte dans lequel l’adresse e-mail spécifiée a été utilisée n’a été impliqué dans une attaque.
Dans le second cas (message Oh non – pwned!), nous suggérons de faire défiler la page jusqu’au paragraphe Les violations dans lesquelles vous avez été victime.
Voici les vols de données dans lesquels des comptes appartenant à l’adresse e-mail saisie ci-dessus ont été impliqués.
Prenons l’exemple d’un compte @ gmail.com qui, saisi en Ai-je été pwned est dénommé Oh non – pwned!. L’apparence du message – et cela doit être noté – ne signifie pas que le compte Gmail lui-même a été piraté avec le contenu qu’il contient; au contraire, cela signifie que son propre compte – dans lequel le compte @ gmail.com a été utilisé comme nom d’utilisateur – a été impliqué dans le vol de données effectué par des groupes de cybercriminels.
Autrement dit, si vous vous étiez inscrit au service en ligne Y en indiquant l’adresse e-mail @ gmail.com comme nom d’utilisateur et que le service Y avait fait l’objet d’une cyberattaque ayant conduit au vol de données par des tiers (ex. exemple, les identifiants de connexion des utilisateurs Y), l’adresse @ gmail.com apparaîtra pwned est Ai-je été pwned affichera l’alerte Oh non – pwned!.
Il n’est pas certain que le mot de passe du compte soit connu des cybercriminels car dans de nombreux cas les opérateurs de services en ligne le protègent grâce à un algorithme de hachage.
En bref, le mot de passe n’est pas stocké en texte clair mais est enregistré dans un format crypté qui fonctionne dans un sens: c’est-à-dire qu’il permet au mot de passe de l’utilisateur de générer une version cryptée correspondante mais ne permet pas à la version cryptée de tracer le mot de passe dans texte clair.
Évidemment, le choix du meilleur et du plus sûr algorithme hachage joue un rôle central: dans certains cas, les cybercriminels, utilisant des attaques Force brute et / ou le soi-disant tables arc-en-ciel ils peuvent essayer d’inverser la fonction de hacher et retracer les vrais mots de passe des utilisateurs.
Aussi, les utilisateurs qui ne font pas attention à la sécurité de leurs données et de leur identité en ligne, peuvent faciliter la vie des personnes malintentionnées en réutilisant les mêmes mots de passe sur plusieurs services différents. Une pratique, celle-ci à éviter comme la peste.
Nous avons dit que Ai-je été pwned, à Les violations dans lesquelles vous avez été victime, indique où les informations de connexion de l’utilisateur (correspondant à l’adresse e-mail saisie dans la zone de recherche) ont été volées.
L’auteur de Ai-je été pwned, Troy Hunt, n’a évidemment aucun lien avec les attaques qui ont été lancées sur les différents services en ligne au fil du temps: Hunt fait cependant un travail minutieux qui est vraiment précieux et souvent mal compris par les utilisateurs.
Le créateur de Ai-je été pwned vérifie en permanence l’activité réalisée sur les forums dédiés au piratage et au cracking, ce qui est mis en ligne sur les sites de partage de contenu (tels que Pastebin), sonde le web sombre pour identifier la publication des données et des informations d’identification des utilisateurs attribuables à des cyberattaques anciennes et nouvelles.
Juste en ces jours, Hunt a ajouté les données contenues dans une énorme archive contenant des millions de noms d’utilisateur et de mots de passe: Une archive avec 773 millions d’adresses e-mail et de mots de passe diffusés en ligne: vérifiez si les vôtres y sont également.
Comment vérifier si vos mots de passe sont connus des cybercriminels
Le fait que certaines de vos informations d’identification aient fait partie intégrante des cyberattaques au fil des ans ne devrait pas vous étonner. Dans la dernière partie de chaque page publiée sur Ai-je été pwned il existe une longue liste de services qui ont été ciblés par des cybercriminels et qui ont signalé le vol de données sur leurs serveurs.
L’important est que lorsque ces situations se présentent, changer immédiatement vos mots de passe en commençant évidemment par les services ayant subi une cyberattaque et éventuellement activer l’authentification à deux facteurs, trop souvent « snobé »: Google validation en deux étapes: seuls 10% des utilisateurs l’utilisent.
Et, encore une fois, l’un des meilleurs conseils est assurez-vous de ne jamais utiliser le même mot de passe sur plusieurs services en ligne.
Pour ceux qui souhaitent mieux enquêter, depuis un certain temps maintenant, Troy Hunt a également mis à disposition le service supplémentaire. Mots de passe connectés: en tapant votre propre mot de passe, il est possible de savoir s’il est présent dans les archives du site et donc impliqué dans le vol de données qui a eu lieu chez un fournisseur.
Hunt a clairement indiqué à plusieurs reprises que pour des raisons de sécurité, il ne conserve pas les mots de passe non chiffrés impliqués dans les différentes attaques mais uniquement les correspondants hacher.
En tapant un mot de passe, alors, Ai-je été pwned calcule immédiatement lehacher SHA-1 et vérifie la présence du même hacher dans sa base de données (SHA-1 est l’un des algorithmes les plus connus et les plus utilisés de hachage).
Si vous n’aimez pas écrire vos mots de passe sur une page Web comme celle-ci, bien que protégée grâce à l’utilisation de HTTPS, un protocole sécurisé tel que TLS 1.3, un algorithme fiable pour l’échange de clés (X25519) et un chiffrement tout aussi sécurisé (AES_128_GCM) , il y a un moyen de vérifier les mots de passe hors ligne sans échanger de données sur Internet.
La première étape fondamentale consiste à pointer le navigateur sur cette page, puis à faire défiler jusqu’au paragraphe Téléchargement de la liste des mots de passe Pwned.
Ici, vous devrez cliquer sur le bouton Cloudflare au rang SHA-1, ordonné par hachage.
Ceci est le fichier mis à jour en permanence par Hunt Che contient le hacher de tous les mots de passe « divulgués » par des cybercriminels lors d’attaques connues à ce jour, au fil des ans.
Le fichier est évidemment très lourd (il est de l’ordre de 10 Go) et une fois l’archive décompressée, le fichier texte qu’elle contient (mots-de-passe-pwned-sha1-triés-par-hachage-v4.txt) pèse environ 23 Go (assurez-vous donc de disposer de suffisamment d’espace libre).
Une fois le fichier texte décompressé, nous vous suggérons de le renommer simplement en pwned-passwords.txt.
N’essayez pas de l’ouvrir car dans la plupart des cas, compte tenu de sa taille considérable, cela ne sera pas possible.
Voici les 10 premières lignes que le fichier contient à ce jour:
000000005AD76BD555C1D6D771DE417A4B87E4B4: 4
00000000A8DAE4228F821FB418F59826079BF368: 2
00000000DD7F2A1C68A35673713783CA390C9E93: 630
00000001E225B908BAC31C56DB04D892E47536E0: 5
00000006BAB7FC3113AA73DE3589630FC08218E7: 2
00000008CD1806EB7B9B46A8F87690B2AC16F617: 3
0000000A0E3B9F25FF41DE4B5AC238C2D545C7A8: 15
0000000A1D4B746FAA3FD526FF6D5BC8052FDB38: 16
0000000CAEF405439D57847A8657218C618160B2: 15
0000000FC1C08E6454BED24F463EA2129E254D43: 40
Comme vous pouvez le voir, la première partie de la ligne, avant le symbole :, est lehacher du mot de passe unique; la seconde (la référence numérique) indique combien de fois le même mot de passe a été détecté par Hunt dans les fichiers des différentes attaques. Les hachages avec de nombreuses occurrences sont ceux correspondant à des mots de passe qui sont évidemment très utilisés par les utilisateurs.
Si vous essayez d’écrire test123 en haut Mots de passe connectés plus de 96 000 occurrences seront obtenues.
Utilisez une poignée de commandes Linux pour vérifier la fiabilité des mots de passe
Même ceux qui n’ont pas de système Linux mais utilisent une machine Windows 10 peuvent effectuer le test en quelques instants. En installant le Linux bash dans Windows 10 (voir Linux sur Windows: comment, quand et pourquoi l’utiliser), vous pourrez émettre toutes les commandes nécessaires aux vérifications à partir de la ligne de commande.
Voyons comment vérifier la présence de vos mots de passe dans la liste des Ai-je été pwned à partir de Windows 10 sans envoyer de données sur le réseau:
1) En supposant l’installation de Linux bash dans Windows 10, tapez simplement frapper dans la zone de recherche du système d’exploitation.
2) Allez dans le dossier contenant le fichier pwned-passwords.txt. Dans notre cas, nous avons tapé cd / mnt / d / pwned_passwords car le fichier est dans le dossier D: pwned_passwords.
3) Tapez la commande echo -n ‘test123‘openssl dgst -sha1 -hex pour trouver le hachage SHA-1 de votre propre mot de passe. Le mot de passe à transformer avec l’algorithme de hachage doit être correctement remplacé a test123.
4) Sélectionnez le mot de passe de hachage SHA-1 et appuyez sur Entrée pour copier la chaîne dans le presse-papiers de Windows. Dans l’exemple, le hachage doit être sélectionné et copié 7288edd0fc3ffcbe93a0cf06e3568e28521687bc.
5) Type y = « 7288edd0fc3ffcbe93a0cf06e3568e28521687bc » en substituant évidemment la valeur de hachage correcte à votre mot de passe et en appuyant sur Entrée.
6) Ecrire enfin grep « $ y ^^ » ./pwned-passwords.txt et appuyez sur Entrée. De cette façon, le hachage du mot de passe sera converti en caractères alphanumériques majuscules (c’est ainsi que le fichier téléchargé depuis Ai-je été pwned) et sera recherché dans le fichier local pwned-passwords.txt.
7) La recherche durera plusieurs minutes mais Windows continuera à être utilisable: vous ne verrez qu’une utilisation assez marquée du disque dur par la commande Linux grep.
8) À la fin de l’analyse de l’ensemble du dossier pwned-passwords.txt, si le mot de passe correspondant au hachage SHA-1 indiqué doit être détecté, une sortie similaire à celle de la figure sera obtenue.
Comme vous pouvez le voir, le nombre d’occurrences indiqué (dans l’exemple du mot de passe test123) est le même que celui affiché sur le site Ai-je été pwned.
Effectuer une vérification de mot de passe avec Keepass
Le apprécié gestionnaire de mots de passe Keepass, logiciel libre et open source, a fait l’objet de plusieurs de nos articles: voir par exemple Gestion des mots de passe: comment le faire en toute sécurité.
Au lieu de la procédure décrite ci-dessus, si vous étiez un utilisateur Keepass et que vous utilisiez ce programme pour gérer vos informations d’identification, téléchargez et installez simplement le plugin Vérification hors ligne HIPB.
Comme son nom l’indique, HIPB Offline Check vous permet de vérifier la base de données de mots de passe de Ai-je été pwned toujours en mode hors ligne, sans envoyer de données sur le réseau.
Après avoir copié HIPB Offline Check dans le dossier des plugins Keepass, lancez simplement le gestionnaire de mots de passe, allez au menu Outils, vérification hors ligne HIPB et sélectionnez le fichier pwned-passwords.txt précédemment extrait sur le disque.
À ce point, pour rechercher un mot de passe unique dans la base de données de Ai-je été pwned il suffit de double-cliquer sur la colonne correspondante Mot de passe.
Alternativement, il est possible de faire une sélection multiple, toujours depuis l’interface Keepass, puis cliquez sur Éléments sélectionnés, base de données Have I Been Pwned.
Dans la nouvelle colonne Ai-je été pwned le plugin HIPB Offline Check indiquera si le mot de passe correspondant était ou non connu des cybercriminels.
Découvrez aussi plus d’articles dans nos catégories Internet, productivité et Ordinateurs et internet.
Merci pour votre visite on espère que notre article Mots de passe piratés ou non sécurisés: comment vérifier le vôtre
vous aide, pour nous aider, on vous invite à partager l’article sur Facebook, instagram et whatsapp avec les hashtag ☑️ #Mots #passe #piratés #sécurisés #comment #vérifier #vôtre ☑️!