Mot de passe compromis (Pwned)
Qu'est-ce que Mot de passe compromis (Pwned) ?
Mot de passe compromis (Pwned)Mot de passe deja apparu dans une fuite connue et qui ne doit donc jamais etre autorise, conformement au service Have I Been Pwned de Troy Hunt.
Un mot de passe 'pwned' est deja present dans des corpus publics de fuites et fait donc partie des dictionnaires utilises par les attaquants pour le credential stuffing et le password spraying. La reference est le jeu Pwned Passwords de Have I Been Pwned (HIBP), service public de Troy Hunt, qui expose plus d'un milliard de hashes SHA-1 uniques via une API a k-anonymat : le client envoie seulement les cinq premiers caracteres hexadecimaux du hash et recoit la liste des suffixes correspondants, sans jamais transmettre le mot de passe. La section 5.1.1.2 du NIST SP 800-63B exige explicitement de verifier tout mot de passe nouveau ou modifie face a un tel corpus. Cloudflare, 1Password ou Okta ont integre l'API HIBP a leurs parcours.
● Exemples
- 01
Un utilisateur saisit 'P@ssw0rd123' et le formulaire le bloque parce qu'il apparait plus de 3 millions de fois dans HIBP.
- 02
Module Active Directory qui compare periodiquement les hashes NTLM des comptes au corpus Pwned Passwords hors ligne.
● Questions fréquentes
Qu'est-ce que Mot de passe compromis (Pwned) ?
Mot de passe deja apparu dans une fuite connue et qui ne doit donc jamais etre autorise, conformement au service Have I Been Pwned de Troy Hunt. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie Mot de passe compromis (Pwned) ?
Mot de passe deja apparu dans une fuite connue et qui ne doit donc jamais etre autorise, conformement au service Have I Been Pwned de Troy Hunt.
Comment fonctionne Mot de passe compromis (Pwned) ?
Un mot de passe 'pwned' est deja present dans des corpus publics de fuites et fait donc partie des dictionnaires utilises par les attaquants pour le credential stuffing et le password spraying. La reference est le jeu Pwned Passwords de Have I Been Pwned (HIBP), service public de Troy Hunt, qui expose plus d'un milliard de hashes SHA-1 uniques via une API a k-anonymat : le client envoie seulement les cinq premiers caracteres hexadecimaux du hash et recoit la liste des suffixes correspondants, sans jamais transmettre le mot de passe. La section 5.1.1.2 du NIST SP 800-63B exige explicitement de verifier tout mot de passe nouveau ou modifie face a un tel corpus. Cloudflare, 1Password ou Okta ont integre l'API HIBP a leurs parcours.
Comment se défendre contre Mot de passe compromis (Pwned) ?
Les défenses contre Mot de passe compromis (Pwned) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Mot de passe compromis (Pwned) ?
Noms alternatifs courants : Mot de passe compromis, Mot de passe divulgue, Mot de passe HIBP.
● Termes liés
- identity-access№ 798
Politique de mots de passe
Ensemble documenté de regles encadrant la creation, le stockage, la rotation et la validation des mots de passe utilisateur pour equilibrer securite et usabilite.
- identity-access№ 795
Mot de passe
Chaîne de caractères secrète qu'un utilisateur fournit pour prouver son identité à un système ; historiquement le mécanisme d'authentification à facteur unique dominant.
- attacks№ 232
Bourrage d'identifiants
Attaque automatisée qui rejoue d'énormes listes de couples identifiant/mot de passe issues d'une fuite contre d'autres services, exploitant la réutilisation des mots de passe.
- attacks№ 800
Pulvérisation de mots de passe
Attaque "low and slow" qui essaie un petit lot de mots de passe courants sur de nombreux comptes, en restant sous les seuils de verrouillage et de rate-limit.
- attacks№ 275
Violation de donnees
Incident de securite confirme lors duquel une partie non autorisee accede, exfiltre ou divulgue des informations sensibles, protegees ou confidentielles.
- identity-access№ 797
Gestionnaire de mots de passe
Application qui génère, stocke et remplit automatiquement des identifiants uniques et robustes, protégée par une phrase maîtresse et, de plus en plus, par des passkeys.