web-dev-qa-db-fra.com

Vous avez un e-mail indiquant que mon mot de passe est faible, raison de préoccupation?

J'ai récemment reçu un e-mail d'une société bien connue m'informant que le mot de passe que j'utilise est faible et peut être facilement deviné.

L'e-mail semble légitime sans tentative de voler des informations, ils disent seulement "connectez-vous à votre compte et accédez à compte-> détails du compte pour changer votre mot de passe" sans aucun lien qu'ils peuvent truquer ou quoi que ce soit.

  • Comment savent-ils que mon mot de passe est faible?
  • Ne sont-ils pas censés ne pas connaître mon mot de passe car il est encodé lors de leur enregistrement?
  • Dois-je m'inquiéter de la façon dont ils traitent mes informations?

La société d'où provient l'e-mail est une société assez importante et bien connue. Je n'ai pas utilisé leur service ou je ne me suis pas connecté depuis quelques mois.

68
darnok

Ils n'ont pas besoin de pouvoir lire votre mot de passe pour le tester par rapport à des mots de passe faibles et devinables connus. Tout ce qu'ils doivent faire est d'essayer tous les mots de passe devinables contre votre mot de passe. Il peut être haché et salé correctement, comme ils sont censés le faire.

Ils peuvent le faire rapidement car ils ont un accès légitime aux hachages de mot de passe et peuvent simplement exécuter des tests en arrière-plan. Il existe même des services pour les entreprises qui contiennent des mots de passe divulgués provenant d'autres bases de données de mots de passe connus.

Bien sûr, une fois qu'ils l'ont testé, ils pourraient savoir quel est votre mot de passe (selon la façon dont ils l'ont testé), mais alors, les attaquants peuvent utiliser la même méthode.

Il n'y a donc aucune indication de mauvaise gestion des mots de passe. Aucune raison de s'inquiéter. Mais, si leurs tests automatisés l'ont trouvé, votre mot de passe est probablement très devinable et devrait être changé dès que possible.

148
schroeder

L'e-mail peut être totalement légitime, vous n'avez pas réellement besoin de connaître le mot de passe en texte brut pour savoir qu'il a fait partie d'une violation de données, juste que le hachage de votre mot de passe est dans une violation de données, c'est ainsi que l'API de haveibeenpwned fonctionne par exemple.

De plus, si votre mot de passe est faible, vous devriez probablement le changer :)

14
kudrom

Les autres réponses sont bonnes, mais il y a une seconde possibilité au moins théorique que vous avez évoquée dans votre question et qui mérite d'être discutée. (Cela est totalement évident pour les paranoïaques de sécurité, mais peut-être pas pour tout le monde.)

Si le message "vous avez un mot de passe faible" est pas provenu du site auquel il prétend, et si l'expéditeur de ce message - qui est en fait un attaquant extérieur - a un moyen d'écouter, et se cache là vous attend, connectez-vous et réinitialisez votre mot de passe comme demandé, alors boum, il a mis la main sur votre nouveau mot de passe "plus sécurisé" ( même s'il n'avait peut-être aucune idée de votre ancien mot de passe, ni de sa faiblesse ou de sa chaîne).

Comment un attaquant pourrait-il espionner votre session de réinitialisation de mot de passe? * compromis la partie du site qui accepte les demandes de changement de mot de passe * reniflant votre connexion Internet d'une manière ou d'une autre * vous a donné un lien utile dans l'e-mail qui pointe vers un site différent qui imite le site réel

@darnok a mentionné être prudent sur exactement les deux bonnes choses:

  • vérifié que "l'e-mail semble légitime"
  • a noté que l'e-mail avait pas un lien pratique, que l'action suggérée était de "se connecter à votre compte et aller sur compte-> détails du compte pour changer votre mot de passe"

Mais, ces jours-ci, si vous recevez un tel e-mail, je dirais que vous avez raison de vous inquiéter. Si vous avez été victime d'une tentative bien équipée de voler votre mot de passe, voici à quoi il pourrait ressembler.

0
Steve Summit