Google vient de déployer une nouvelle extension de navigateur Chrome qui vous avertit si une combinaison nom d'utilisateur-mot de passe a été compromise dans une violation de données.
Appelée Password Checkup, l'extension est disponible dès maintenant, bien que Google prévienne qu'il s'agit toujours d'un travail en cours. Password Checkup compare les informations d'identification que vous saisissez sur n'importe quel site Web avec une base de données de quatre milliards d'ensembles d'informations d'identification compromis connus et vous permet de savoir si votre combinaison nom d'utilisateur-mot de passe n'est plus bonne.
Donc, si vous vous connectez à Acme.com avec le nom d'utilisateur "[email protected]" et le mot de passe "BeepBeep", Password Checkup enverra une version cryptée de ces informations d'identification à sa base de données.
Si le combo [email protected]/BeepBeep fait partie des quatre milliards de jeux d'informations d'identification piratés, vous recevrez un grand avertissement rouge indiquant que "votre mot de passe pour www.acme.com n'est plus sûr en raison d'une violation de données". et que vous devez changer votre mot de passe. Sinon, vous serez rassuré que tout va bien.
PLUS : Meilleurs gestionnaires de mots de passe
Google a déclaré à Lily Hay Newman de Wired que sa base de données n'est pas la même que la base de données Have I Been Pwned de six milliards d'ensembles d'informations d'identification compromises maintenue par le chercheur australien en sécurité Troy Hunt. Pourtant, il y a forcément un certain chevauchement entre les deux.
Il y a une autre grande différence : Have I Been Pwned vous permet de vérifier les mots de passe par eux-mêmes et les adresses e-mail par eux-mêmes, mais jamais les deux en même temps. C'est parce que Hunt ne veut pas que Have I Been Pwned soit utilisé par des voleurs d'identité pour vérifier si une combinaison adresse e-mail/mot de passe spécifique est valide.
Sinon, n'importe qui pourrait essayer de "forcer brutalement" Have I Been Pwned en exécutant, disons, les 1 000 mots de passe les plus couramment utilisés sur une liste d'adresses e-mail connues ou générées.
La vérification du mot de passe de Google vérifie les deux informations d'identification en même temps, ce qui nous fait un peu craindre que l'extension du navigateur ne rende les informations d'identification dangereuses encore moins sûres. (L'utiliser pour vérifier vos propres mots de passe devrait parfaitement convenir.)
Un article de blog officiel de Google indique que la société "a conçu Password Checkup pour empêcher un attaquant d'abuser de Password Checkup pour révéler des noms d'utilisateur et des mots de passe dangereux".
Nous n'avons pas eu l'occasion de tester la vérification du mot de passe pour voir si ces protections contre le brute-forcing fonctionnent. Mais quelqu'un d'autre le fera certainement.
Cet article est apparu à l'origine sur Tom's Guide.
- Les meilleurs ordinateurs portables pour les affaires et la productivité