Password Checkup est une nouvelle extension du navigateur Web Google Chrome de Google qui informe les utilisateurs sur les noms d'utilisateur ou mots de passe dangereux.
Les internautes ont quelques options pour tester la solidité des mots de passe et savoir si leurs comptes ont été inclus dans des fuites.
La base de données Have I Been Pwned est probablement la plus grande base de données publique sur les fuites de mots de passe; il se compose de plus de 6, 4 milliards de comptes et vous pouvez vérifier l’adresse e-mail ou les mots de passe de votre compte dans la base de données.
Certains gestionnaires de mots de passe prennent en charge les vérifications de mot de passe. Mon outil préféré, KeePass, prend cela en charge, ce qui vous permet de vérifier localement tous les mots de passe par rapport à la base de données afin de révéler les comptes nécessitant une modification de mot de passe.
Vérification de mot de passe par Google
La solution de vérification du mot de passe de Google est disponible en tant qu'extension Chrome. Cela fonctionne uniquement avec le gestionnaire de mots de passe intégré du navigateur Chrome et non si vous utilisez des gestionnaires de mots de passe tiers tels que LastPass ou 1Password.
Password Checkup utilise un système différent lorsqu'il s'agit d'informer les utilisateurs sur les informations d'identification dangereuses.
Il vérifie le mot de passe utilisé pour se connecter à des comptes sur Internet lorsque des connexions se produisent sur une base de données de plus de 4 milliards de mots de passe.
Google tient à jour une liste des noms d'utilisateur et des mots de passe qui ont été divulgués au format haché et chiffré, et y ajoute de nouveaux identifiants chaque fois qu'il en prend connaissance.
La société note que l'extension et le système ont été conçus dans le respect de la confidentialité, en raison de la nature sensible des données. L'extension a été conçue pour "ne jamais révéler [..] d'informations personnelles à Google" et "empêcher un attaquant d'abuser de Password Checkup pour révéler des noms d'utilisateur et des mots de passe dangereux".
Password Checkup envoie à Google une copie chiffrée et hachée du nom d'utilisateur lorsque les utilisateurs se connectent à des sites. Google utilise la récupération d'informations confidentielles et confidentielles pour effectuer une recherche dans la base de données d'informations d'identification non sécurisées; la dernière vérification qui détermine si le nom d'utilisateur ou le mot de passe a été exposé dans une violation de données a lieu localement selon Google.
L'extension du navigateur affiche des informations exploitables s'il s'avère que le nom d'utilisateur ou le mot de passe s'est échappé en ligne. Les utilisateurs sont invités à changer le mot de passe immédiatement, mais il est également possible d'ignorer les résultats pour des sites spécifiques.
Google prévoit d’affiner l’extension dans les mois à venir. Vous pouvez consulter la publication sur le blog Google Security pour plus d'informations.
Mots de clôture
Password Checkup utilise une approche différente de la majorité des vérificateurs de fuite de mot de passe. Le nom d'utilisateur et le mot de passe ne sont vérifiés que si l'utilisateur se connecte à des sites. Bien que cela prenne du temps à changer des mots de passe sur des dizaines voire des centaines de sites, cela peut signifier qu'un utilisateur ne se rend jamais compte de problèmes de justificatifs d'identité ou seulement après une période prolongée.
De plus, comme Google utilise ses propres données, il est possible qu'un mot de passe ou nom d'utilisateur non divulgué ne se trouve pas dans la base de données de Google, mais dans Ai-je-été-Pwnds ou d'autres personnes sur Internet (et inversement). Un test rapide a montré que Google n'avait pas détecté de violations pour certains comptes, contrairement à ce que j'ai reçu.
Google pourrait résoudre certains problèmes liés à l'extension en y ajoutant une option permettant de vérifier tous les noms d'utilisateur et mots de passe stockés par rapport à sa base de données de références perdues.
Now You: Quelle est votre impression de Password Checkup jusqu'à présent?
