Personne ne veut voir la sécurité de ses données en ligne compromise. Malheureusement, les violations de données très médiatisées de grandes entreprises de confiance ne sont pas rares. Ces violations peuvent compromettre la sécurité de vos adresses e-mail, mots de passe et toutes autres informations que vous pourriez avoir stockées dans un profil particulier. Certains clients ont créé leur compte SuperSaaS il y a des années et utilisent encore le même mot de passe sur SuperSaaS que sur un autre site web. Il existe deux façons dont nous essayons de nous défendre contre les pirates qui tentent d’utiliser ces listes pour obtenir un accès.
Nous prévenons les saisies massives de mots de passe, mais cela ne protège pas entièrement
Premièrement, nous avons mis en place un système pour détecter toute personne testant un grand nombre de mots de passe à la fois. Ces adresses IP sont bloquées automatiquement et notre logiciel de surveillance nous alerte. Cependant, ce type de surveillance n’est pas totalement efficace car les pirates peuvent utiliser de nombreuses adresses IP et tester quelques mots de passe depuis chacune.
Nous vérifions votre mot de passe contre une liste de mots de passe compromis connus
En deuxième ligne de défense, nous prenons les listes de comptes compromis disponibles en ligne auprès de sociétés de recherche en sécurité, et vérifions si l’un de nos clients y figure. Sur le site have i been pwned? vous pouvez vérifier si votre compte figure sur la liste. Si nous trouvons un mot de passe correspondant, nous vérifions si l’adresse e-mail correspondante figure également sur cette liste, et nous réinitialisons le mot de passe si les deux y figurent.
Nous pouvons vérifier votre mot de passe sans réellement le connaître
Il est important de noter que nous n’avons pas besoin d’envoyer votre mot de passe à qui que ce soit pour cette vérification, en fait votre mot de passe ne quitte jamais nos serveurs. Au lieu de cela, nous utilisons une empreinte mathématique de votre mot de passe, ce qu’on appelle un hachage cryptographique, et vérifions si ce hachage figure sur la liste. Les empreintes sont conservées en sécurité dans une liste séparée qui ne quitte pas nos bureaux. Bien qu’en elles-mêmes les empreintes soient inoffensives, elles ne peuvent pas être reconstituées en un mot de passe. Ainsi, personne n’a besoin de manipuler directement les mots de passe réels, et nous ne saurons même pas quel mot de passe vous avez utilisé si nous trouvons une correspondance sur la liste. Tout ce que nous saurions, c’est qu’il figure sur une liste de mots de passe compromis et qu’il serait judicieux de le réinitialiser.
Nous réinitialisons les mots de passe que nous trouvons sur la liste
Si le hachage de votre mot de passe se trouve effectivement sur la liste des mots de passe hachés, nous supprimons votre mot de passe par précaution. La prochaine fois que vous tenterez de vous connecter, vous serez redirigé vers l’écran « mot de passe oublié », afin de pouvoir vous envoyer par e-mail un lien de réinitialisation de mot de passe.
Pour être clair, cela ne signifie pas que votre compte a été compromis. Cela signifie simplement que nous avons réinitialisé votre mot de passe par précaution pour éviter qu’il ne soit compromis à l’avenir. Nous estimons que le léger inconvénient d’un mot de passe effacé l’emporte largement sur les problèmes considérables d’un compte piraté. Bien entendu, vous êtes invité à nous contacter si vous avez des questions sur ce processus.
Ce processus de test sera répété à intervalles réguliers, par exemple si une autre violation importante se produit et que de nouvelles listes apparaissent en ligne. Nous parlons rarement de notre sécurité, car tant que nous faisons notre travail, il y a peu de choses à communiquer. C’est l’une des rares façons visibles dont nous tentons de vous offrir une expérience sécurisée lors de l’utilisation de SuperSaaS. Soyez assurés qu’en tant qu’équipe, nous travaillons dur en coulisses sur la cybersécurité chaque jour.
Publié initialement en février 2019.