Comment vérifier si votre mot de passe a été volé
Utiliser Ai-je été pwned ? pour voir si l’une de vos adresses e-mail ou noms d’utilisateur fait partie d’une fuite, ou pour vérifier si un mot de passe apparaît dans une base de données divulguée. Les gestionnaires de mots de passe tels que 1Password, Bitwarden et Dashlane intègrent également cette fonctionnalité.
De nombreux sites Web ont divulgué des mots de passe. Les attaquants peuvent télécharger des bases de données de noms d’utilisateur et de mots de passe et les utiliser pour « pirater » vos comptes. C’est pourquoi vous ne devez pas réutiliser les mots de passe pour des sites Web importants, car une fuite d’un site peut donner aux attaquants tout ce dont ils ont besoin pour se connecter à d’autres comptes.
Sommaire
Ai-je été pwned?
Le site Web Have I Been Pwned de Troy Hunt maintient une base de données de combinaisons de nom d’utilisateur et de mot de passe à partir de fuites publiques. Celles-ci sont tirées de violations accessibles au public qui peuvent être trouvées via divers sites Web ou sur le Web sombre. Cette base de données permet simplement de les vérifier vous-même sans visiter les parties les plus sommaires du Web.
Pour utiliser cet outil, rendez-vous sur la page principale Have I Been Pwned? et recherchez un nom d’utilisateur ou une adresse e-mail. Les résultats vous indiquent si votre nom d’utilisateur ou votre adresse e-mail est déjà apparu dans une base de données divulguée. Répétez ce processus pour vérifier plusieurs adresses e-mail ou noms d’utilisateur. Vous verrez dans quels fichiers de mot de passe divulgués votre adresse e-mail ou votre nom d’utilisateur apparaît, ce qui vous donne à son tour des informations sur les mots de passe qui pourraient avoir été compromis.
Si vous souhaitez recevoir une notification par e-mail si votre adresse e-mail ou votre nom d’utilisateur apparaissent dans une future fuite, cliquez sur le lien « M’avertir » en haut de la page et entrez votre adresse e-mail.
Vous pouvez également rechercher un mot de passe pour voir s’il est déjà apparu dans une fuite. Rendez-vous sur la page Pwned Passwords sur la page Have I Been Pwned? site Web, tapez un mot de passe dans la case, puis cliquez sur le bouton « pwned ? » bouton. Vous verrez si le mot de passe se trouve dans l’une de ces bases de données et combien de fois il a été vu. Répétez cette opération autant de fois que vous le souhaitez pour vérifier les mots de passe supplémentaires.
Avertissement: Nous vous déconseillons fortement de saisir votre mot de passe sur des sites tiers qui vous le demandent. Ceux-ci peuvent être utilisés pour voler votre mot de passe si le site Web n’est pas honnête. Nous vous recommandons de n’utiliser que Have I Been Pwned? site, qui est largement approuvé et explique comment votre mot de passe est protégé. En fait, 1Password, qui est l’un des meilleurs gestionnaires de mots de passe, dispose désormais d’un bouton qui utilise la même API que le site Web, de sorte qu’il enverra également des copies hachées de vos mots de passe à ce service. Si vous souhaitez vérifier si votre mot de passe a été divulgué, c’est le service avec lequel vous devez le faire.
Si un mot de passe important que vous utilisez a été divulgué, nous vous recommandons de le changer immédiatement. Vous devez utiliser un gestionnaire de mots de passe afin de pouvoir définir facilement des mots de passe forts et uniques pour chaque site important que vous utilisez. L’authentification à deux facteurs peut également aider à protéger vos comptes critiques, car elle empêchera les attaques d’y pénétrer sans code de sécurité supplémentaire, même s’ils connaissent le mot de passe.
Tour de guet 1Password
1Password, l’un de nos gestionnaires de mots de passe préférés, peut désormais vérifier si vos mots de passe ont également été divulgués. En fait, 1Password utilise le même logiciel Have I Been Pwned? service que nous avons couvert ci-dessus.
Cela fait partie de la fonctionnalité 1Password Watchtower. Pour le trouver, ouvrez l’application 1Password sur votre PC Windows, Mac, iPhone, iPad, téléphone Android ou tout autre appareil que vous utilisez. Cliquez sur l’option « Watchtower » dans la barre latérale sur un ordinateur ou appuyez sur le bouton « Watchtower » dans l’application.
1Password vérifiera la page Have I Been Pwned? base de données et vous informer des mots de passe susceptibles d’être compromis. Ils seront mis en évidence par un gros message rouge « Sites Web compromis » ; cliquez ou appuyez sur le message pour voir les mots de passe que vous devez changer.
(Consultez notre revue 1Password pour plus d’informations sur Watchtower et les autres fonctionnalités de 1Password.)
Bitwarden, Dashlane et KeePassXC
D’autres gestionnaires de mots de passe de premier plan ont des fonctionnalités similaires qui utilisent Have I Been Pwned? base de données. Voici quelques-uns:
- Bitwarden : dans Bitwarden, connectez-vous à votre coffre-fort Web, cliquez sur « Rapports » en haut de la page, puis cliquez sur « Rapport de violation de données ». Vos mots de passe seront vérifiés par rapport à Have I Been Pwned?. (Jetez un œil à notre revue Bitwarden pour plus de détails sur Bitwarden.)
- Dashlane : dans Dashlane, ouvrez le menu « Outils » et sélectionnez « État du mot de passe ». Dashlane vous montrera quels mots de passe sont « compromis ». (Lisez notre revue Dashlane pour plus d’informations sur ses fonctionnalités.)
- KeePassXC : Les développeurs de KeePassXC pensent que cette fonctionnalité n’est pas nécessaire et qu’il vaut mieux rechercher les noms d’utilisateur et les e-mails au lieu de vos mots de passe dans la base de données. Voici l’argument de KeePassXC. Vous pouvez rechercher des noms d’utilisateur et des adresses e-mail à partir de la page Have I Been Pwned? site Internet. Il existe des extensions tierces en ligne qui ajoutent Have I Been Pwned? prise en charge de la recherche de KeePassXC, mais nous ne les avons pas testés et ne pouvons pas dire s’ils sont sécurisés et sûrs à utiliser. Comme toujours lorsque vous traitez avec des mots de passe, faites attention aux logiciels auxquels vous faites confiance.
La chose la plus importante que vous puissiez faire est de ne pas réutiliser les mots de passe, du moins pour les sites Web importants. Vos e-mails, services bancaires en ligne, achats, médias sociaux, entreprises et autres comptes critiques doivent tous avoir leurs propres mots de passe uniques, de sorte qu’une fuite d’un site Web ne met pas en danger d’autres comptes. Les gestionnaires de mots de passe permettent de créer des mots de passe uniques forts, vous évitant ainsi d’avoir à vous souvenir d’une centaine de mots de passe différents.