En octobre 2020, il a été révélé que le service populaire Gravatar avait été piraté et que les noms d’utilisateur et les adresses e-mail hachées avaient été divulgués. En mai 2014, Bitly a souffert d’une violation de données qui a provoqué la fuite des adresses e-mail et des mots de passe hachés de près de 10 millions d’utilisateurs. Ce ne sont là que quelques exemples de violations de données. Que pouvez-vous faire si votre adresse e-mail, vos mots de passe et vos mots de passe hachés ont fait partie de telles violations?
Une méthode très populaire pour savoir si votre nom d’utilisateur, votre adresse e-mail ou votre mot de passe a fait partie d’une violation de données consiste à effectuer une recherche sur https://haveibeenpwned.com/. Vous y trouverez immédiatement des informations indiquant si votre numéro de téléphone ou votre adresse e-mail a fait partie de telles violations. Il peut également être intéressant de faire une recherche de votre mot de passe à https://haveibeenpwned.com/Passwords.
J’utilise également un service nommé Surfshark Alert, qui fait partie de mon abonnement Surfshark. J’y ai enregistré certaines de mes adresses IP et si l’une d’entre elles est incluse dans une violation de données nouvellement signalée, je recevrai immédiatement une notification. Vous pouvez également trouver une fonction similaire dans le gestionnaire de mots de passe de NordVPN nommé NordPass.
Votre adresse e-mail et votre mot de passe ont-ils été divulgués ? Que faire ?
Avez-vous vérifié l’état de votre adresse e-mail ? L’adresse a-t-elle fait partie de violations de données? Le fait que votre adresse e-mail ait été divulguée n’est peut-être pas très dangereux en soi. Mais, l’adresse e-mail a-t-elle été combinée avec plus d’informations? L’adresse e-mail a-t-elle été divulguée avec un mot de passe lisible à 100%? Si c’est le cas, changez votre mot de passe le plus rapidement possible. Avez-vous utilisé la même adresse e-mail et le même mot de passe sur plusieurs plateformes ? Vous devez changer le mot de passe sur chaque mot de passe et vous débarrasser du ou des mots de passe divulgués le plus rapidement possible.
Êtes-vous inscrit sur de nombreux sites Web? Comment pouvez-vous vous souvenir de chaque mot de passe si vous utilisez des mots de passe différents partout?
Ce n’est pas un hasard si les gestionnaires de mots de passe sont très populaires (et nécessaires). Ceux-ci vous aideront à générer des mots de passe sécurisés et à les stocker dans un endroit sécurisé. Par conséquent, le seul mot de passe dont vous devrez vous souvenir est votre mot de passe principal très sécurisé combiné à votre adresse e-mail. Le reste est le travail du gestionnaire de mots de passe. Il existe de nombreux excellents gestionnaires de mots de passe. Personnellement, je peux recommander chaleureusement NordPass et LastPass.
Ces gestionnaires de mots de passe sont livrés avec des extensions de navigateur et des applications mobiles. En conséquence, vous aurez tous vos mots de passe facilement accessibles chaque fois que vous en aurez besoin.
Mais, que se passe-t-il si vous avez reçu un avertissement indiquant que votre hachage de mot de passe a été divulgué? Est-ce dangereux? Qu’est-ce que cela signifie que votre hachage de mot de passe a été divulgué?
Mon hachage de mot de passe a été divulgué. Est-ce dangereux? Qu’est-ce que cela signifie ?
Peut-être que votre mot de passe n’a pas été divulgué, mais votre hachage de mot de passe a été divulgué. Que cela signifie-t-il? Tu veux t’inquiéter ?
Qu’est-ce qu’un hachage de mot de passe ?
De nombreux fournisseurs de services ajoutent une couche de sécurité supplémentaire lorsqu’ils stockent leurs données utilisateur. Au lieu de stocker votre mot de passe en mots et lettres normaux, ils l’encodent à l’aide de différentes technologies de hachage. Supposons que vous enregistriez un nouvel utilisateur à mynewwebsite.com avec les données suivantes.
- Courriel : [email protected].
- Mot de passe : 12345678
Au fur et à mesure que le fournisseur hache ces informations, elles seront stockées dans leur base de données comme ceci.
- Courriel : [email protected] (s’ils le hachent avec MD5, ce serait : 4dec7aa05010e30721aa8714e9339a9e)
- Mot de passe : 25d55ad283aa400af464c76d713c07ad (MD5), 7c222fb2927d828af22f592134e8932480637c0d (SHA1)
Ci-dessus, vous pouvez voir mon mot de passe 12345678 codé avec le MD5 et l’algorithme de hachage SHA1.
Si quelqu’un voyait ces données et essayait de se connecter avec votre compte sur mynewwebsite.com en utilisant l’adresse e-mail et le hachage, cela ne fonctionnerait pas. Ils ne pourraient pas se connecter à votre compte. Cela signifie-t-il que vous n’avez pas à vous inquiéter?
Devez-vous vous inquiéter si le hachage de votre mot de passe a été divulgué?
Il y a des problèmes ici dont vous devriez être conscient. Si vous utilisez le même algorithme de hachage et encodez le même mot de passe, le hachage de résultat sera toujours le même. Qu’est-ce que ça veut dire ? Si vous utilisez le même mot de passe que moi (12345678) et utilisez le même algorithme de hachage, vous obtiendrez le même résultat (hachage). Pour cette raison, vous trouverez des bases de données reliant des hachages avec des mots de passe fréquemment utilisés.
Si vous allez dans https://crackstation.net/ et entrez les deux hachages ci-dessus, vous verrez les résultats suivants.
Voyez-vous ce que je vois? J’ai simplement ajouté les hachages sur le site Web ci-dessus et il m’a immédiatement montré quel type d’algorithme était utilisé et quel était le mot de passe d’origine. Au début, le hachage peut sembler très sécurisé, mais en réalité, il n’est pas nécessaire qu’il le soit. Le hachage de votre mot de passe a-t-il fait partie d’une violation de données ? Je vous recommande de visiter le site ci-dessus et de vérifier si votre hachage a été exposé dans des tables dites arc-en-ciel.
Un peu de sel pourrait vous donner une protection supplémentaire!
Comme vous pouvez le voir ci-dessus, un hachage de mot de passe peut ne pas vous protéger beaucoup (si le mot de passe de base était un mot de passe bien connu). Les pirates auront beaucoup de puissance de calcul disponible, ce qui signifie qu’ils peuvent tester votre hachage contre des millions de mots de passe rapidement (en utilisant des dictionnaires et des lettres et des chiffres aléatoires), ce qui le rend encore plus effrayant.
Pour nous protéger contre de telles attaques par force brute, il est devenu normal d’ajouter du sel au hachage. Qu’est-ce que ça veut dire ?
En cryptographie, un sel est une donnée aléatoire qui est utilisée comme entrée supplémentaire à une fonction unidirectionnelle qui hache des données, un mot de passe ou une phrase secrète.
Wikipédia
Salt est ici des données supplémentaires qui sont ajoutées au hachage. En conséquence, votre mot de passe ne sera plus pointillé comme 12345678, mais vous obtiendrez un tas d’autres caractères ajoutés au mot de passe en plus. Ci-dessous, vous pouvez voir un exemple de moi encodant mon mot de passe en utilisant l’algorithme SHA256, avec et sans sel.
- 12345678 (SHA256, sans sel) = ef797c8118f02dfb649607dd5d3f8c7623048c9c063d532cc95c5ed7a898a64f
- 12345678 (SHA256, avec sel 1DoNtKn0w;-.,) = 9076e087e4a4da347685ee9ecc7b2b739cd3770ec3c9e8b703968c99d496200f
Comme vous pouvez le voir, les hachages sont complètement différents, et il sera beaucoup plus difficile pour quiconque de décoder le deuxième hachage en raison du sel qui est ajouté au hachage. Il devient de plus en plus normal d’ajouter du sel aux mots de passe hachés, mais pas partout.
Peu importe si un service ajoute du sel à votre hachage de mot de passe ou non, vous devez toujours utiliser des mots de passe sécurisés combinant des lettres, des chiffres et des caractères spéciaux, car c’est la base de tout cela. Si l’un de ces mots de passe fait toujours partie d’une violation de données, modifiez-le rapidement. Puisque vous utilisez des mots de passe différents pour tous vos comptes, vous serez toujours en sécurité!
J’espère que cet article a réussi à répondre aux questions que vous aviez avant de venir lire l’article. Si votre mot de passe et/ou votre hachage de mot de passe ont fait partie de violations de données, soyez prudent et prenez les mesures nécessaires pour protéger vos comptes à l’avenir.
Si vous avez d’autres commentaires ou questions, veuillez utiliser le champ de commentaires ci-dessous.
