Les 320 millions de mots de passe qu’il serait préférable de négliger
Le créateur du site HaveIBeenPwned, permettant de savoir si une adresse mail ou un nom d'utilisateur est concerné par un piratage de données, propose désormais de comparer ses mots de passe à une base en regroupant 320 millions. Lesquels ne sont donc pas à ré-utiliser.
En dépit de moult mises en garde sur le danger de se reposer sur des mots de passe un peu trop évidents à deviner, « 123456 » (sans les guillemets) demeurait le code de sécurité plus utilisé en 2015. Aujourd’hui, Troy Hunt, créateur du site HaveIBeenPwned, propose 320 millions de mots de passe en téléchargement libre dans le but que les internautes les comparent avec les leurs et les changent, si besoin.
Pour rappel, HaveIBeenPwned permet de déterminer, en renseignant une adresse mail ou un nom d’utilisateur, si ces identifiants sont liés à un compte ayant été compromis. Le spécialiste en sécurité Troy Hunt offre désormais un service semblable avec les mots de passe, « PwnedPasswords ».
PwnedPasswords : pour savoir quels mots de passe à éviter
« PwnedPasswords sont des millions de mots de passe issus du monde réel et exposés à des violations de données. Cette exposition les rend inappropriés pour un usage continu. Ils sont consultables en ligne et peuvent de même être téléchargés pour être utilisés dans un autre système en ligne. »
Prudence toutefois, Troy appelle dans le même temps à ne pas renseigner ses mots de passe à un service tiers, incluant le sien. Dans un long billet récemment paru, il précise que dans un souci de ne pas porter (directement) préjudice aux personnes ayant recours aux mots de passe apparaissant dans sa liste, ceux-ci n’y figurent pas en texte clair (le hachage cryptographique SHA-1 est utilisé ici).
Un total de plus de 5,5 Go de données à télécharger
Le spécialiste ajoute que dans les 197.602.390 valeurs uniques récupérées dans la liste Exploit.in, 75% d’entre eux avaient déjà été utilisés plus d’une fois. Des recherches ultérieures lui ont confirmé que plus les données augmentent en volume et moins les mots de passe se veulent différents.
Il est à préciser que les 306 millions de mots de passe de Troy Hunt, auxquels il convient d’ajouter les 14,4 millions de deux mises à jour, demandent un espace disque de 5,3 Go + 250 Mo + 7,6 Mo.