Le portail Have I Been Pwned a fait une double annonce aujourd’hui. Le premier est qu’ils collaboreront avec lui FBI. L’objectif de cette collaboration sera que les bases de données de mots de passe piratés auxquelles le FBI a accès soient mises à disposition du site Web afin qu’elles puissent être ajoutées et que les utilisateurs puissent vérifier s’ils ont été impliqués dans un piratage.

Le FBI téléchargera les mots de passe dans les mots de passe Pwned

De cette façon, le FBI aurait un moyen direct de télécharger le contenu directement dans la base de données Web afin qu’il puisse être indexé et rendu accessible aux utilisateurs. Le FBI proposera des mots de passe sous forme de hachages SHA-1 Oui NTLM et pas en texte brut. Il ne fournira aucune autre donnée personnelle et ces mots de passe seront incorporés dans la base de données Pwned Passwords, qui contient déjà 613 millions de mots de passe divulgués.

Le fait qu’un mot de passe y apparaisse indique déjà que nous ne devons l’utiliser dans aucun service, car quelqu’un peut utiliser cette base de données et tester ces 613 millions de mots de passe jusqu’à ce que l’un d’eux corresponde à notre compte. Il faut également garder à l’esprit que le fait qu’un mot de passe n’y figure pas n’implique pas qu’il soit sécurisé, car vous devez toujours essayer d’avoir des mots de passe complexes.

Cette même base de données peut être téléchargée directement à partir du site Web dans la section sur Mots de passe, regroupés en fichiers torrent. La version la plus à jour a été compilée le 19 novembre 2020, donc davantage de mots de passe piratés auront été ajoutés depuis lors.

Les mots de passe Pwned seront open source

La deuxième nouveauté annoncée par Chasse à la Troie, son créateur, est qu’il rendra le web open-source afin que d’autres puissent contribuer au projet et qu’il soit plus facile à trouver crédits qu’ils ont été piraté.

Rendre le code open-source était une étape logique, car il indique également que le code est très simple, composé uniquement d’un service de stockage Azure, d’une fonction Azure et d’un worker Cloudflare.

En le rendant open-source, d’autres entreprises peuvent intégrer la vérification directement dans leurs services. Par exemple, Microsoft ne permet pas aux utilisateurs d’entrer un mot de passe qui a été piraté, et d’autres gestionnaires de mots de passe ils pourraient faire de même avec ce nouvel outil de déploiement gratuit.

Troy Hunt a également annoncé hier que le portail est déjà dangereusement proche du nombre de 1 milliard de chèques par mois, ce qui équivaut à 1 personne sur 8 dans le monde qui vérifie chaque mois si son email ou son mot de passe est présent dans un hack. Cela montre que de plus en plus de gens sont préoccupés par leur sécurité, mais il y en a encore qui utilisent des mots de passe faibles.