Fuite massive de données : 1,3 milliard de mots de passe divulgués : le vôtre en fait-il partie ?
La base de données « Haveibeenpwned.com » a ajouté plus d'un milliard de mots de passe compromis à ses données. Voici comment vérifier si vos identifiants de connexion sont toujours sécurisés.
Le site web Haveibeenpwned.com, bien connu pour la recherche de données de connexion divulguées, a enrichi sa base de données d'un ensemble massif de données. Celle-ci comprend 1,3 milliard de nouveaux mots de passe et 2 milliards d'adresses électroniques que la société de sécurité informatique Synthient a trouvés librement accessibles en ligne.
Les mots de passe en question sont principalement ceux utilisés pour deux comptes ou plus, contrairement à toutes les règles de sécurité. Chaque compte doit utiliser un mot de passe unique.
Requête très simple : il vous suffit de saisir votre adresse e-mail.Pour savoir s'ils sont concernés par la fuite actuelle ou d'autres fuites, les utilisateurs peuvent facilement et gratuitement saisir leur adresse électronique sur Haveibeenpwned.com et voir directement si des mots de passe compromis ont été trouvés pour cette adresse.
« Ai-je été pwned ? » (HIBP) signifie en substance : « Mes systèmes ont-ils été compromis ? » Pour répondre précisément à cette question, il est conseillé de vérifier régulièrement ses adresses électroniques. En effet, Troy Hunt, chercheur australien en sécurité informatique et opérateur de HIBP, met constamment à jour sa base de données en y intégrant les fuites et les piratages qui apparaissent en ligne.
Doublez la protection : utilisez également l’outil de vérification des fuites d’identité.Bien que les ensembles de données puissent se chevaucher, il est conseillé d'utiliser en parallèle un autre service de requête gratuit : Identity Leak Checker du Hasso Plattner Institute (HPI). Ce service s'appuie également sur une base de données contenant d'innombrables données d'identité divulguées. Si les requêtes effectuées sur l'un ou l'autre site aboutissent à une correspondance, le mot de passe compromis du service concerné doit être rapidement remplacé par un nouveau mot de passe sécurisé.
Important : Chaque service doit avoir un mot de passe unique. Utiliser le même mot de passe pour plusieurs services, voire pour tous, est risqué, car cela permet aux pirates de prendre facilement le contrôle de plusieurs comptes, voire de tous, en un instant.
Comme il est impossible de se souvenir de dizaines de mots de passe complexes, l'Office fédéral allemand de la sécurité des technologies de l'information (BSI) recommande l'utilisation de gestionnaires de mots de passe. Il est également possible de renforcer sa sécurité en ligne grâce à un pense-bête pour mots de passe ; le BSI explique la méthode sur son site web.
De plus, vous devriez activer l'authentification à deux facteurs (2FA) pour les services en ligne lorsqu'elle est disponible. Grâce au second code demandé lors de la connexion, les pirates ne peuvent pas accéder au compte, même s'ils ont obtenu le mot de passe.
Les utilisateurs peuvent d'ores et déjà commencer à adopter Passkeys, le successeur des mots de passe. Passkeys permet une connexion sans mot de passe grâce à une paire de clés cryptographiques.
Pour une sécurité encore plus grande : utilisez des clés d’accès plutôt que des mots de passe.Pour se connecter, le service demande une clé cryptographique stockée sur l'appareil de l'utilisateur. Il suffit ensuite d'autoriser la demande, généralement par empreinte digitale ou code PIN. Cette clé est alors comparée à la clé publique détenue par le service, et l'utilisateur est connecté.
Vous pouvez stocker vos clés d'accès sur une clé USB sécurisée (FIDO2), dans un système d'exploitation (mobile) tel qu'Android, iOS/macOS ou Windows, ou dans un gestionnaire de mots de passe compatible. Si votre gestionnaire de mots de passe actuel est également compatible avec les clés d'accès, vous pouvez continuer à utiliser vos mots de passe existants en parallèle des nouvelles clés sans aucun problème.
Source : ntv.de, awi/dpa
n-tv.de
