[2006]

1 Raska			0

Y a pas les mots passe en clair dans tous ces leaks (voire pas de mot de passe du tout)
Si vous avez des mots de passe un peu plus robustes que azerty ou la date de naissance du chien, y a pas grand chose à craindre.

Ce qui est faux.
Comme y'a des gens qui font du golf, y'a des gens qui font de l'extraction de mots de passe en clair de ces fuites... et des mots de passes très élaborés sont souvent trouvés.



Quelques bons conseils à répéter partout :

1. Un bon mot de passe ne change que quand y'a des fuites et surtout n'est jamais réutilisé à deux endroits.
   
2. La seule manière de choisir un bon mot de passe, c'est tiré au hasard, avec un logiciel dédié ou simplement des dés¹.
   
3. Le seul truc pratique pour les mots de passe, c'est vraiment d'utiliser un gestionnaire de mots de passe.
   

Propagez la bonne parole : si un de vos proches ne retient ne serait-ce que deux de ces conseils, il sera moins exposé que la plupart des gens !

---

Pour les anglophones, je recommande la lecture de cet article qui parle de cette fuite en particulier : The 773 Million Record "Collection #1" Data Breach

Pour le 2FA (téléphone, QR-codes) à utiliser pour tout ce qui est critique (banque, mail, impôts, ...) autant que possible, mais pas toujours possible.

¹pour les curieux, c'est que le seul mot de passe qu'un attaquant ne peut pas deviner est celui qui est tiré au hasard²
²l'ordre de grandeur du « hasard minimum³ » est cinq mots tirés au hasard avec 4 dés dans une liste de 6x6x6x6 de mots (~1300 mots)
³le maximum « raisonnable » est avec six ou sept dés – ce qui équivaut à environ 12 minuscules / majuscules / chiffres tirés au hasard