Un service web a repéré un énorme fichier baptisé Collection 1, regroupant plus de 772 millions d’adresses mail et de plus de 21 millions de mots de passe.
“en utiliser un unique pour chaque service auquel vous vous connectez”
Conseil systématiquement donné par des personnes qui n’ont jamais tenté de l’appliquer dans leur vie de tous les jours.
Je le pratique, du moins pour tous les sites sensibles.
Il suffit d’intégrer dans son mot de passe quelques caractères provenant du nom / url du site en question.
exemple :
facebook : djsuadf34*
clubic : djsuldf34*
etc…
(seconde lettre en 5eme position)
le reste libre à votre imagination
“Conseil systématiquement donné par les personnes qui n’ont jamais tenté de l’appliquer dans leur vie de tous les jours.”
Avec un gestionnaire de mots de passes c’est très simple a appliquer, les produits dans le genre ne manquent pas : Dashlane, Lastpass, 1Password …
C’est pour ça que ce matin j’ai recu un mail de “Have I Been Pwned” me disant que j’avais une adresse mail qui était repérée dans leur base comme potentiellement hackée !
Mot de passe changé sur le champs, merci “Have I Been Pwned”
J’ai mes deux adresses principales qui sont listées comme compromises. Changeant régulièrement de mot de passe, je ne m’inquiète pas. Toutefois j’aimerais bien savoir depuis quel(s) service(s) web elles ont été capturées…
j’ai reçu trois demandes de rançon liées à une fuite email/mp, cette combinaison de mes données ne peut venir que de FNAC.be ou SCHAFFER.be mais j’ai la flemme de remplir les formulaires de la cnil belge. La premiere demande de rançon à 500$ a rapporté 3000$ en btc, les deux autres demandes à 5000$ et 7000$ (wow) ont rapporté 0$, j’espère que ces ‘malfrats’ ont payé le prix fort pour cette liste 
mon adresse gmail était compromise avec une connexion inconnu sur ma boite mail. Bizarrement je n’est pas été prévenu qu’un nouvel appareil s’y était connecté.
Méfiance ! Après l’analyse, le site conseille d’utiliser 1password. Ca ne m’étonnerait pas que tout ça soit inventé pour vendre des abonnements ! Surtout que si l’on cherche Collection 1 on ne trouve nul part où le télécharger ce qui laisse penser qu’il n’existe tout simplement pas.
Si tu appliquais la plus basique des mesures de sécurité, tu saurais.
haveibeenpwned.com est totalement fiable. Ils collectent les fichiers disponibles sur le net (le dark net bien sûr, c’est pour ça que tu trouveras pas le fichier) et fait une recherche du mail testé dans ces fichiers.
Il n’y a AUCUNE crainte à avoir.
Après, effectivement, il faut bien qu’ils se financent et la pub est un de leur moyen.
Et pourtant, personnellement, c’est ce que je m’astreins à appliquer.
J’utilise un gestionnaire de mot de passe avec un mdp unique par compte. Je pourrais me sentir rassuré en ayant suivi les conseils qu’on trouve sur le net. Mais non. Mon adresse mail principale apparait dans Collection 1 d’après Have I Been Pwned. Mais comme ils n’indiquent ni pour quel site ou avec quel mot de passe, je devrais théoriquement changer mes 485 mots de passe !!! Sérieux ?
En fait c’est une recommandation. Le problème ici, tu ne sais pas de quand date la collecte des données du fichier. Il peut dater de bien avant ton dernier changement de mot de passe.
De plus, je pense que si tu utilises au maximum l’authentification à deux facteurs, tu réduis déjà considérablement les chances qu’une personne accède à ton ou tes comptes. Dans les rares cas où les sites permettent son utilisation.
Il n’y a pas beaucoup de sites qui proposent l’authentification à 2 facteurs.
Et le problème, c’est surtout que je ne sais pas quel site ou mot de passe est concerné. La date est une information un peu secondaire dans mon cas : j’ai aussi 485 dates différentes. 
Justement pas, cette méthode est totalement obsolete, les bruteforceurs utilisent maintenant toutes sortes de variations par rapports aux bases de donnés de mots et passwords connus, et ca va loin. du simple l33t aux bidouilles évoquées plus haut…
Oui, c’est un problème.
Le mieux serait d’avoir accès à cette liste pour déterminer ce qui a été pris (j’ai une adresse dans le lot, mais on ne sait pas quelles sont les sites incriminés).
D’ailleurs, c’est aberrant de voir encore aujourd’hui un grand nombre de sites qui ne vont pas limiter le nombre de tentatives.
j’enregistre jamais ma carte bleu donc bon au pire je perd ma boite mail.
Par contre un compte amazon qui enregistre la carte bleu a chaque achat (il faut retourner a chaque fois dans son compte pour supprimer) la ca devient dangereux
Bah oui… Utiliser des mots de passe unique n’évite pas les fuites mais si un compte est touché, le hacker ne pourra pas accèder à TOUS les sites, seulement celui qui a fuité.
Par contre, en effet, t’es bon pour changer tous les mots de passe 