Personne ne veut que la sécurité de ses données en ligne soit compromise. Malheureusement, les violations de données très médiatisées commises par de grandes entreprises de confiance ne sont pas rares. Ces violations peuvent compromettre la sécurité de vos adresses e-mail, mots de passe et toute autre information que vous pourriez avoir stockée dans un profil particulier. Certains clients ont créé leur compte SuperSaaS il y a des années et utilisent toujours le même mot de passe sur SuperSaaS que sur un autre site Web. Nous essayons de nous défendre de deux manières contre les pirates informatiques qui tentent d’utiliser ces listes pour y accéder.
Pour plus de contexte, notre page sur la confidentialité et le RGPD explique aussi comment nous pensons ces sujets plus largement.
Nous empêchons la saisie d’un grand nombre de mots de passe, mais cela ne protège pas complètement
Premièrement, nous avons mis en place un système pour détecter toute personne testant un grand nombre de mots de passe à la fois. Ces adresses IP sont automatiquement bloquées et notre logiciel de surveillance nous alerte. Cependant, ce type de surveillance n’est pas totalement efficace car les pirates peuvent utiliser de nombreuses adresses IP et tester quelques mots de passe sur chacune d’elles.
Nous vérifions votre mot de passe par rapport à une liste de mots de passe compromis connus
Comme deuxième ligne de défense, nous prenons les listes de comptes compromis disponibles en ligne auprès des sociétés de recherche en sécurité et vérifions si l’un de nos clients y figure. Sur le site ai-je été pwn ? vous pouvez vérifier si votre compte apparaît dans la liste. Si nous trouvons un mot de passe correspondant, nous vérifions si l’adresse e-mail correspondante apparaît également sur cette liste et nous réinitialisons le mot de passe si les deux apparaissent.
Nous pouvons vérifier votre mot de passe sans vraiment savoir de quoi il s’agit
Il est important de noter que nous n’avons pas besoin d’envoyer votre mot de passe à quelqu’un d’autre pour cette vérification, en fait votre mot de passe ne quitte jamais nos serveurs. Au lieu de cela, nous utilisons une empreinte mathématique de votre mot de passe, ce que l’on appelle un hachage cryptographique, et vérifions si ce hachage apparaît dans la liste. Les empreintes digitales sont conservées en sécurité dans une liste séparée qui ne quitte pas notre bureau, même si les empreintes digitales sont inoffensives en elles-mêmes, elles ne peuvent pas être reconstituées en mot de passe. De cette façon, personne n’a besoin de gérer directement les mots de passe réels, et nous ne saurons même pas quel mot de passe vous avez utilisé si nous trouvons une correspondance dans la liste. Tout ce que nous savons, c’est qu’il figure sur une liste de mots de passe compromis et que ce serait une bonne idée de le réinitialiser.
Nous réinitialisons les mots de passe que nous trouvons sur la liste
Si le hachage de votre mot de passe se retrouve effectivement dans la liste des mots de passe hachés, nous supprimons votre mot de passe par mesure de précaution. La prochaine fois que vous tenterez de vous connecter, vous serez redirigé vers l’écran « mot de passe perdu », afin que vous puissiez vous envoyer par e-mail un lien de réinitialisation de mot de passe.
Pour être clair, cela ne signifie pas que votre compte a été compromis. Cela signifie simplement que nous réinitialisons votre mot de passe pour vous par mesure de précaution afin d’éviter qu’il ne soit compromis à l’avenir. Nous pensons que le léger désagrément d’un mot de passe effacé l’emporte sur les énormes problèmes d’un compte piraté. Bien sûr, vous êtes les bienvenus à Contactez-nous si vous avez des questions sur ce processus.
Ce processus de test sera répété à intervalles réguliers, par exemple si une autre violation importante se produit et que de nouvelles listes apparaissent en ligne. Nous parlons rarement de notre sécurité, car tant que nous faisons notre travail, il ne devrait y avoir que peu de choses à communiquer. C’est l’un des rares moyens visibles par lesquels nous essayons de fournir une expérience sécurisée lorsque vous utilisez SuperSaaS. Soyez assurés qu’en équipe, nous travaillons dur chaque jour en coulisses sur la cybersécurité.
Publié à l’origine en février 2019.