Il y a un nouveau grand cas de données de connexion/mot de passe volées dans les nouvelles . En même temps, je lis qu'il existe des services qui vous permettent de vérifier si vos propres données de connexion sont affectées, par exemple Ai-je été pwned .
Puis-je entrer mon adresse e-mail en toute sécurité pour savoir si je dois changer mes mots de passe?
Cette question a été expliquée plusieurs fois par Troy Hunt sur son blog, sur Twitter et dans le FAQ de haveibeenpwned.com
Voir ici :
Lorsque vous recherchez une adresse e-mail
La recherche d'une adresse e-mail ne récupère que l'adresse du stockage puis la renvoie dans la réponse, l'adresse recherchée n'est jamais explicitement stockée nulle part. Voir la section Logging ci-dessous pour les situations dans lesquelles il peut être implicitement stocké.
Les violations de données marquées sensible ne sont pas renvoyées dans les recherches publiques, elles ne peuvent être consultées qu'en utilisant le service de notification et en vérifiant d'abord la propriété de l'adresse e-mail. Les violations sensibles sont également consultables par les propriétaires de domaine qui prouvent qu'ils contrôlent le domaine en utilisant la fonction de recherche de domaine . Découvrez pourquoi les violations non sensibles sont consultables publiquement.
Voir aussi le paragraphe Logging
Et de la FAQ :
Comment puis-je savoir que le site ne recueille pas seulement les adresses e-mail recherchées?
Vous ne le faites pas, mais ce n'est pas le cas. Le site est simplement destiné à être un service gratuit permettant aux personnes d'évaluer le risque lié à la prise en compte de leur compte dans une faille. Comme pour tout site Web, si vous êtes préoccupé par l'intention ou la sécurité, ne l'utilisez pas.
Bien sûr, nous devons faire confiance à Troy Hunt pour ses réclamations, car nous n'avons aucun moyen de prouver qu'il ne fait pas autre chose, lors du traitement de la demande spécifique votre.
Mais je pense qu'il est plus que juste de dire qu'avoir participé est un service précieux et Troy Hunt lui-même est un membre respecté de la communauté infosec.
Mais supposons que nous ne faisons pas confiance à Troy: qu'avez-vous à perdre? Vous pourriez lui divulguer votre adresse e-mail. Quel est le risque que cela représente pour vous, lorsque vous pouvez simplement saisir l'adresse e-mail de votre choix?
En fin de compte, HIBP est un service gratuit pour vous (!) Qui coûte de l'argent à Troy Hunt. Vous pouvez choisir de rechercher vous-même toutes les bases de données de mots de passe du monde si vous ne voulez pas prendre le risque que peut-être beaucoup de gens se trompent sur Troy Hunt, juste parce que vous divulguer votre adresse e-mail.
Troy Hunt est un professionnel de la sécurité de l'information très respecté et ce service est utilisé par des millions de personnes dans le monde, même par certains gestionnaires de mots de passe pour vérifier si les mots de passe sélectionnés par les utilisateurs ont été impliqués dans une violation de données.
Voir par exemple, https://1password.com/haveibeenpwned/
Selon le site Web, 1Password s'intègre au site populaire Have I Been Pwned pour garder un œil sur vos connexions pour toute faille ou vulnérabilité de sécurité potentielle.
La saisie de votre adresse e-mail sur ce site vous indiquera quelles violations de données impliquent cette adresse e-mail, afin que vous puissiez revenir sur le site Web concerné et modifier votre mot de passe. C'est esp. important si vous avez utilisé le même mot de passe pour plusieurs sites Web, où les informations d'identification volées sur un site peuvent être utilisées pour attaquer d'autres sites dans une technique également appelée attaque par bourrage des informations d'identification.
Le message StackExchange suivant a une réponse de Troy lui-même avec des éclaircissements sur ce service: La liste des mots de passe "Pwned" de "Have I Been Pwned" est-elle vraiment utile?
Vous n'avez pas posé de question explicite à ce sujet, mais elle est très liée à votre question (et mentionnée dans les commentaires), alors j'ai pensé que je la soulèverais. En particulier, quelques détails supplémentaires peuvent donner des indices sur l'évaluation de ce genre de choses.
haveibeenpwned dispose également d'un service qui vous permet de vérifier si un mot de passe donné a déjà été divulgué. Je pouvais voir ce service être encore plus "discutable". Après tout, qui veut farfouiller son mot de passe dans un site Web aléatoire? Vous pourriez même imaginer une conversation avec un sceptique:
Bien sûr, nous ne pouvons pas vérifier ce qui se passe après leur avoir envoyé nos données. Votre adresse e-mail est définitivement envoyée, et il n'y a aucune promesse de ne pas la transformer secrètement en une gigantesque liste d'e-mails qui sera utilisée pour la prochaine vague d'e-mails du Prince nigérian.
Qu'en est-il du mot de passe ou du fait que les deux demandes peuvent être connectées? Avec les navigateurs modernes, il est très facile de vérifier que votre mot de passe n'est pas réellement envoyé à leur serveur. Ce service est conç pour que seuls les 5 premiers caractères du hachage du mot de passe soient envoyés. Le service renvoie ensuite les hachages de tous les mots de passe connus commençant par ce préfixe. Ensuite, le client compare simplement le hachage complet avec ceux retournés pour voir s'il existe une correspondance. Ni le mot de passe ni même le hachage du mot de passe ne sont même envoyés.
Vous pouvez le vérifier en accédant à la page de recherche de mot de passe, en ouvrant vos outils de développement et en consultant l'onglet réseau ( chrome , firefox ). Entrez un mot de passe (pas le vôtre si vous êtes toujours inquiet) et appuyez sur Soumettre. Si vous procédez ainsi pour password
, vous verrez une requête HTTP qui atteint https://api.pwnedpasswords.com/range/5BAA6
(5BAA6
étant les 5 premiers caractères du hachage de password
). Aucun cookie n'est associé et le mot de passe réellement soumis n'apparaît jamais dans la demande. Il répond avec une liste de ~ 500 entrées, dont 1E4C9B93F3F0682250B6CF8331B7EE68FD8
qui (pour le moment) répertorie 3645804
correspond - alias le mot de passe password
est apparu environ 3,5 millions de fois dans des fuites de mot de passe distinctes. (le hachage SHA1 de password
est 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8
).
Avec seulement ces informations, le service n'a aucun moyen de savoir quel est votre mot de passe, ou même s'il apparaît dans leur base de données. Il existe une variété presque illimitée de hachages qui peuvent apparaître après ces 5 premiers chiffres, de sorte qu'ils ne peuvent même pas deviner si votre mot de passe se trouve dans leur base de données.
Encore une fois, nous ne pouvons pas savoir avec certitude ce qui arrive aux données après leur sortie de notre navigateur, mais ils ont certainement fait beaucoup d'efforts pour s'assurer que vous pouvez vérifier si votre mot de passe a fuit sans leur envoyer réellement votre mot de passe.
En résumé, Troy est définitivement un membre respecté de la communauté, et il y a des aspects que nous pouvons vérifier. Certes, il n'y a jamais eu de cas où des membres de confiance d'une communauté brisent plus tard cette confiance :) J'utilise définitivement ces services, bien que je ne sais pas si vous voulez faire confiance à une personne aléatoire sur Internet. Là encore, si vous ne vouliez pas faire confiance à une personne aléatoire sur Internet, alors pourquoi êtes-vous ici?
De nombreuses réponses ici parlent du service particulier "Ai-je été envoyé". Je suis d'accord avec eux que ce service est digne de confiance. Je voudrais dire quelques points qui s'appliquent en général à tous ces services.
Ces services vérifient les violations de données qui se sont déjà produites. Si votre adresse e-mail est en infraction, ces services et bien d'autres le savent déjà. La recherche de votre e-mail ne déclenchera rien de nouveau.
Le maximum que vous pouvez perdre dans ce cas est que votre adresse e-mail soit divulguée. Mais cela est vrai pour tout site Web ou bulletin d'information.