Votre mot de passe est-il compromis ? Vérifiez-le avant votre prochain onboarding client

Dix-huit milliards de vérifications par mois transitent par Have I Been Pwned. La plupart des gens n'en ont jamais effectué une. Eighteen billion checks a month run through Have I Been Pwned. Most people have never run one.

Voici pourquoi ça compte : chaque fois qu'une entreprise se fait pirater et que des données sont diffusées en ligne, ces identifiants se retrouvent dans la base de données. Pas seulement l'adresse e-mail. Le mot de passe aussi. Si vous êtes en ligne depuis plus de quelques années, vous y êtes presque certainement. La question n'est pas de savoir si vos identifiants ont été compromis. C'est de savoir lesquels. Here's why that matters: every time a company gets hacked and user data gets dumped, those credentials end up in the database. Not just the email address. The password too. If you've been online for more than a few years, you're almost certainly in there somewhere. The question isn't whether your credentials have been leaked. It's whether you know which ones.

Pourquoi c'est important dans votre travail client Why it matters when you're doing client work

Pensez à toutes les personnes qui accèdent à vos outils de projet : boîtes mail partagées, portails clients, espaces Slack, dossiers Drive. Si une personne sur un projet réutilise un mot de passe compromis, un mot de passe qui traîne depuis des mois dans une base de données de fuites publiques, cette exposition ne s'arrête pas à ses comptes personnels. Elle atteint tout ce qu'elle touche. Think about everyone who touches your project tools: shared inboxes, client portals, Slack workspaces, Drive folders. If one person on a project is reusing a compromised password, one that's been sitting in a public breach database for months, that exposure doesn't stop at their personal accounts. It reaches into everything they touch.

Ce n'est pas un scénario hypothétique. C'est un identifiant connu dans une base de données consultable, et les attaques par credential stuffing sont automatisées. Elles tournent en permanence. This isn't a theoretical worst case. It's a known credential in a searchable database, and credential-stuffing attacks are automated. They run constantly.

La partie intelligente : votre mot de passe ne quitte jamais votre ordinateur The clever part: your password never leaves your computer

Have I Been Pwned utilise une technique appelée k-anonymat, et c'est élégant. Au lieu d'envoyer votre vrai mot de passe pour le confronter à la base de données de fuites, votre machine le hache localement, puis envoie uniquement les cinq premiers caractères de ce hachage. Le serveur retourne tous les suffixes de hachage correspondants. Votre machine compare le hachage complet avec la liste localement. Have I Been Pwned uses a technique called k-anonymity, and it's elegant. Instead of sending your actual password to check against the breach database, your machine hashes it locally, then sends only the first five characters of that hash. The server returns all the hash suffixes that match. Your machine checks the full hash against the list locally.

Le service ne voit jamais votre mot de passe. Il voit cinq caractères d'un hachage à sens unique, ce qui ne lui révèle rien. Vous obtenez une réponse définitive. Rien de sensible ne passe sur le réseau. The service never sees your password. It sees five characters of a one-way hash, which tells it nothing. You get a definitive answer. Nothing sensitive goes over the network.

Comment vérifier How to check

Ouvrez Terminal. Collez ceci en remplaçant yourpassword par ce que vous souhaitez vérifier. Exécutez uniquement sur votre propre machine. Open Terminal. Paste this, replacing yourpassword with what you actually want to check. Run it on your own machine only.

PASS="yourpassword" HASH=$(echo -n "$PASS" | shasum -a 1 | cut -c1-40 | tr 'a-z' 'A-Z') PREFIX=$(echo $HASH | cut -c1-5) SUFFIX=$(echo $HASH | cut -c6-40) curl -s "https://api.pwnedpasswords.com/range/$PREFIX" | grep -i "^$SUFFIX:" || echo "Not found in breaches."

Si un nombre apparaît, ce mot de passe a été exposé dans une fuite. Le nombre indique combien de fois. Changez-le partout où vous l'utilisez. "Not found in breaches" signifie que ce mot de passe n'apparaît dans aucune fuite connue. If a number comes back, that password has shown up in a breach. The number is how many times. Change it everywhere you're using it. "Not found in breaches" means that specific password hasn't appeared in any known dump.

Conseil pratique : vérifiez tout ce que vous utilisez depuis plus d'un an, surtout ce qui est lié à une adresse e-mail. Pro tip: run it on anything you've been using for more than a year, especially anything tied to an email address.

Quand le faire When to do this

Avant un nouvel onboarding client. Avant de rejoindre un espace de travail partagé. Avant de réutiliser un mot de passe d'un ancien compte. Une fois par mois, ça prend environ deux minutes. Before a new client onboarding. Before joining any shared workspace. Before you reuse anything from an old account. Once a month takes about two minutes.

Les personnes qui rejoignent un projet n'ont pas besoin de partager leurs mots de passe avec vous. Elles doivent effectuer la vérification elles-mêmes. C'est une demande raisonnable pour quiconque a accès à des outils orientés clients. The people coming into a project don't need to share their passwords with you. They need to run the check themselves. That's a reasonable ask for anyone with access to client-facing tools.

Ce que ça ne couvre pas What it won't catch

Une fuite récente qui n'a pas encore été rendue publique n'apparaîtra pas. Have I Been Pwned est uniquement aussi à jour que les fuites qui ont été identifiées et répertoriées. A breach that happened recently and hasn't surfaced publicly yet won't appear. Have I Been Pwned is only as current as the leaks that have been identified and catalogued.

Ce n'est pas une raison de ne pas le faire. Combinez-le avec un gestionnaire de mots de passe, des mots de passe uniques par compte et une authentification à deux facteurs quand c'est possible. La vérification règle un problème précis : l'identifiant connu qui traîne dans une base de données publique depuis des mois pendant que vous ne regardiez pas. That's not a reason to skip it. Pair it with a password manager, unique passwords per account, and two-factor authentication where you can get it. The check handles one specific problem: the known credential that's been sitting in a public database for months while you weren't looking.