Comment nous vérifions si le mot de passe d'un utilisateur a été utilisé lors d'une fuite de données

Pourquoi mon mot de passe n'est-il pas sécurisé ?

Depuis 2019, nous vérifions les mots de passe saisis par les utilisateurs à l'aide de l'API haveibeenpwned.com, un service permettant de vérifier si votre mot de passe est sûr sans compromettre votre vie privée. Cette méthode s'est avérée très efficace pour renforcer la sécurité et a empêché des centaines d'utilisateurs d'utiliser des mots de passe non sécurisés. Si vous voyez un message vous indiquant que votre mot de passe n'est pas sécurisé, cela signifie que ce mot de passe a été divulgué lors d'une fuite de données et que nous ne vous autoriserons pas à l'utiliser sur Passcreator.

Comment nous vérifions si votre mot de passe n'est pas sécurisé

Troy Hunt, un chercheur en sécurité très respecté, a créé haveibeenpwned, une base de données regroupant les mots de passe découverts lors de fuites de données très médiatisées ou bien connues. Nous effectuerons une vérification par rapport à cette base de données pour voir si votre mot de passe figurait parmi ces violations.
Cela ne signifie toutefois pas que nous transmettons le mot de passe que vous saisissez à un autre service externe !
Le mécanisme que nous utilisons s'appelle « recherche par plage » et n'utilise qu'une petite partie du hachage SHA1 d'un mot de passe. Cela signifie que la vérification utilise l'anonymat k pour s'assurer qu'aucune donnée n'est divulguée.

Que faire si votre mot de passe n'est pas sécurisé ?

En général, vous devriez utiliser des mots de passe différents pour chacun de vos comptes en ligne. L'utilisation de mots de passe sécurisés générés aléatoirement est également une bonne approche. Si votre mot de passe a déjà été piraté, veillez à le changer partout où vous l'avez utilisé et prenez des mesures supplémentaires, comme l'exécution de programmes antivirus.