Password checkup

Google vérifie l'intégrité des données

 

Lors du Safer Internet Day, Google a fait la présentation de son outil de sécurité concernant les mot de passe.
Ainsi l’extension pour vérifier l’intégrité de vos mots de passe,
« Password Checkup » a été inaugurée par le Géant du Net.

Des systèmes pour vérifier si vos mots de passe sont compromis existent déjà.
Notamment « Pwnet Password ».
L’application de Google serait basé sur des outils cryptographiques plus évolués.

Extension Google Chrome

Cette extension du navigateur Google Chrome est censée augmenté notre sécurité au quoptidien.
Pour chaque insertion d’un login et du mot de passe correspondant dans un formulaire du Web, l’application vérifiera si les données ne sont pas corrompues.
Si c’est le cas, une alerte sera émise, et l’utilisateur sera incité à changer son mot de passe.

Apparemment rien de très neuf, des sites, comme Haveibeenpwned avec « Powned Password » fournissent déjà ce service.
Une des nouveautés est que l’application fait partie du navigateur et donne une réponse immédiate lors du remplissage du formulaire.

Pour que les mots de passe ne soient pas révélés lors de l’examen, ces deux sites utilisent sur des empreintes cryptographiques et le « k-anonymat ».
Le principe : le navigateur génère une empreinte du mot de passe et n’envoie que les premiers caractères au service de vérification.
Celui-ci, en retour, envoie les mots de passe compromis commençant par les caractères reçus.
La liste reçue est comparée avec le mot de passe de l’utilisateur.

Sha 1 chiffrement

Haveibeenpwned ou Password Checkup

La différence se situe dans l’algorithme utilisé.

Haveibeenpwned transforme le mot de passe en empreinte SHA-1 et le serveur lui renvoi une liste d’empreintes AHA-1 et Haveibeenpwned effectue la comparaison.
Le problème étant que l’algorithme AHA-1 n’est plus adapté à la sécurité des mots de passe.
En cas d’interception des listes, il y a donc un risque important.

Google utilise une méthode plus sécurisée.
Identifiant et mot de passe créés par l'usager sont transformés en une empreinte Argon2. Cet algorithme est plus résistant aux attaques par « Force Brute ».
L’empreinte est ensuite chiffrée localement suivant un algorithme basé sur les « courbes elliptiques ».
La clé n’est connue que de l’utilisateur.

L’empreinte est ensuite renvoyée à Google qui rajoute une couche de chiffrement en utilisant sa propre clé secrète.
Le tout est renvoyé au navigateur.
L’empreinte qui est donc doublement chiffrée est déchiffrée à l’aide de la clé secrète de l’utilisateur.
On obtient donc localement une empreinte Argon2 chiffrée par Google.
Elle est ensuite comparée au niveau du navigateur par une liste d’empreinte Argon2 chiffrée et envoyée par Google.

EncryptographieLa méthode utilisée par Google serait donc plus sécurisée. En effet elle utilise un algorithme d’empreinte cryptographique plus moderne et plus fiable. Et google rajoute un chiffrement comme protection supplémentaire.

Mais la base de données compromises de Google semble beaucoup moins imporatante, pour l’instant, que celle d’Haveibeenpwned.
Wired l’a vérifié en testant l’extension de Google Chrome avec des données compromises sans déclencher d’alerte.

Le suivi des internautes dans leur parcours sur la Toile avec cette extension serait-elle possible ? Pour l’instant Google n’évoque pas ce sujet.

Rappelons que Mozilla Firefox propose également ce genre de service avec https://monitor.firefox.com/ qui est en fait en relation avec la base de données d’Haveibeenpwned.

Si vous avez un doute sur l’intégrité d’un mot de passe, un assistant peut vous aider à le changez. Notez-le avant le changement..Rangez la note dans un endroit discret.
Si c’est votre adresse mail que vous pensez compromise, créez en une autre. Avertissez vos contacts en leur écrivant avec votre nouvelle adresse mail.

Sécurisé un mot de passe un mot de passe messagerie

Malgré une sécurisation accrue de nombreux sites ou apllications demandant un mot de passe, il n'y a pas de sécurité si vous choisissez un mot de passe du genre 123456 ou azerty.

Des petits malins vont rajouter ab à 123456 ou 12 à azerty. Bravo ! votre compte échappe aux pirates pour deux minutes 30 de plus.

De nombreux sites, les sérieux en general, vous oblige à mettre un mot de passe de 8 caractères minimum.

Mettez en 9, 8 caractères est un des critéres de sécurité qui commence à être dépassé, et qui le sera complètement dans peu de temps.

Si le site ne vous y encourage pas, mettez au moins une majuscule si votre mot de passe s'écrit en minuscule...et inversement.

N'utiliser pas votre prénom, ni celui d'une personne qui vous est plus ou moins proche, ni celui de votre animal, même si ce dernier est mort.

Pas non plus de nom de ville, de pays, de rue...de marque de voiture.

Une bonne méthode est d'écrire une petite phrase, à condition de ne pas utiliser ce genre là : "Ceciestmonmotdepasse"...

Rajoutez à votre phrase un ou deux chiffres.

"2motsou6poursecuriser3sites" Méthode mémotechnique

Ne mettez pas le même mot de passe pour tous vos comptes.

Augmenter la difficulté pour d'éventuels agresseurs en mettant un ou plusieurs caractères spéciaux.

"5ou8caractèresle%detrouverEstfaible"

Bien sûr, tous les sites ne vous autorise pas à de telles combinaisons.

Donc revenons à nos 8 caractères.

Vous devez prendre un mot n'ayant aucun rapport avec vous, donc pas avec votre travail...

Facultatif d'ajouter un chiffre ? Non.

Vilà, mon mot de passe est touvé !

"facultatif". Plus qu'à lui adjoindre un chiffre, le59, pourquoi ? Pourquoi pas...

Et de le flanquer d'un ou deux caractères spésiaux, %

"+k mélanger", pourrait être un mot de passe, plus quà mélanger en ajoutant ene majuscule:

"l5ucaF9fitat%" et voilà.

Vous devez noter votre mot de passe, dans un endroit accessible mais hors de vue des curieux.

Et ne vous inquietez pas, vous le retiendrez très vite !

Méfiez vous auusi de votre épaule, et de ce qui se passe derrière...

Et si vous ne voulez pas le créer vous même, en faisant une recherche sur l'ami Google, cous trouverez des sites spécialisés dans la création de mots de passe sécurisés.

communication sécurité Google objets connectés hacker actualité high tech