Une API pour éviter à vos utilisateurs d’employer des mots de passe compromis
Un expert australien en sécurité IT a créé une base de données contenant des centaines de millions de mots de passe compromis lors de vols de données. Des informations accessibles via le service Pwned Passwords, qui peut s’intégrer dans des solutions tierces via des API.
Comment s’assurer qu’un mot de passe, aussi fort soit-il, n’est pas déjà en mains de hackers malveillants? Spécialiste australien en sécurité IT, Troy Hunt a récolté des centaines de millions de mots de passe compromis, une base de données qui s’allonge constamment et via laquelle il peut proposer Pwned Passwords. Complément de l’outil Have I Been Pwned (HIBP), ce service offre différents moyens de vérifier si un mot de passe est déjà entre de mauvaises mains. Téléchargeable et consultable en ligne, la base de données est également accessible via deux API. Apps et sites web ont ainsi l’occasion d’intégrer une vérification supplémentaire de la sûreté d’un mot de passe dans leur processus de création et mise à jour de comptes utilisateurs.
Fruit d’une collaboration avec Cloudflare visant à renforcer l’anonymisation des données saisies via le service, une méthode de chiffrement spéciale a été déployée afin qu’une requête puisse fonctionner qu’avec les premiers caractères d’un mot de passe. Le service Pwned Passwords suscite par ailleurs une demande qui réjouit l’expert australien. Le gestionnaire de mots de passe 1Password a ainsi rapidement intégré les fonctionnalités de Pwned Passwords. En outre, le spécialiste de la gestion des identités Okta a mis au point l’extension PassProtect qui permet la vérification des mots de passe directement au sein du navigateur Chrome. Il ne paraît pas insensé d’imaginer que les services Pwned Passwords puissent rapidement se frayer un chemin vers de nombreux services tiers et solutions d’entreprise. Un administrateur système nommé Amar Kulo a ainsi déjà envisagé comment les fonctionnalités de Pwned Passwords pourraient être utilisées au sein de Microsoft Active Directory.
Même s’il n’est pas à l’abri d’un vol de données, choisir un mot de passe fort ou un bon gestionnaire de mots de passe reste primordial pour tout internaute. Un bug récent du côté de Twitter, révélé lors du dernier World Password Day, avait une nouvelle fois donné l’occasion de rappeler quelques bonnes pratiques.