Pourquoi vérifier vos e-mails dans haveibeenpwned plutôt que de changer régulièrement votre mot de passe indépendamment de toute fuite?

Changer de mot de passe est souvent n'est plus considéré comme une meilleure pratique .

Les gens sont intéressés par HIBP car il centralise les informations concernant les violations et les rend facilement accessibles. Tout le monde n'est pas un utilisateur soucieux de la sécurité, mais les informations sont précieuses pour tous les utilisateurs car, quelle que soit la durée de vie de votre mot de passe, le mot de passe doit être modifié immédiatement en cas de violation.

La modification régulière des mots de passe tend en fait à réduire la sécurité, car les utilisateurs finissent par utiliser des modèles répétés.

Les recommandations sont d'utiliser des mots de passe forts, propres à chaque service, et de ne changer que lorsqu'un suspect est suspecté.

HIBP donne cette notification de compromis.

Il est utile lorsque votre adresse e-mail a été exposée, mais pas dans le cadre d'un ensemble d'informations d'identification. Par exemple, j'ai e une adresse e-mail incluse dans une violation mais je n'avais pas de compte avec ce service/produit, la violation était en fait sur un outil marketing utilisé par un service/produit que je que j'utilisais et mon adresse e-mail avait été ajoutée à l'outil à des fins de marketing.

Sachant que mon adresse e-mail avait été exposée de cette manière, je savais que je devais garder un œil sur l'augmentation des tentatives de spam et de phishing.

Il existe une option pour surveiller des domaines entiers. C'est très utile car tout le monde dans l'entreprise n'est pas aussi conscient et ne se soucie pas autant. Avec une telle notification, en tant qu'administrateur, vous pouvez par exemple forcer des modifications de mot de passe supplémentaires pour les utilisateurs avec de nouveaux mots de passe ayant fuit.

De plus, accroître la sensibilisation est important en soi.

Toutes les autres réponses parlent des meilleures pratiques. Mais prenons la question au visage: "Pourquoi les gens n'utilisent pas les meilleures pratiques (quelles qu'elles soient), et utilisent plutôt ce site Web".

Le plus gros problème de sécurité est l'élément humain. C'est la nature humaine. Pour améliorer la sécurité, vous devez en tenir compte.

Vous écrivez dans la question: "Un utilisateur soucieux de la sécurité le ferait", mais vous demandez ensuite "pourquoi les gens sont-ils si intéressés à utiliser hasibeenpwned?". Eh bien, c'est parce que beaucoup de gens qui sont intéressés par le service ne sont PAS soucieux de la sécurité. Peut-être qu'ils sont quelque peu conscients, peut-être qu'ils viennent d'entendre sur Facebook ce site Web neet.

Si je dis à ma mère de "suivre les bonnes pratiques de sécurité" (et de les expliquer), elle ne ferait rien.
Si je dis à ma mère de vérifier sur ce site Web le mot de passe/e-mail qu'elle utilise partout et que cela lui montre qu'il est compromis, elle le modifiera probablement au moins une fois sur les sites Web importants.

En fin de compte, c'est un compromis pour l'utilisateur.
S'il n'a jamais eu un compte piraté et senti l'impact, il verra le risque comme très faible et le coût pour suivre les meilleures pratiques très élevé.
En revanche, la vérification de la mise en route est très peu coûteuse. Et l'enregistrement en soi vous donne une meilleure évaluation des risques. Si vous êtes compromis, vous savez maintenant que le risque pour vous est élevé, il est donc plus probable qu'ils suivent de meilleures pratiques après avoir visité le site Web.

Donc, c'est plus facile et plus pratique, et donc plus susceptible de devenir viral. C'est quelque chose que je peux partager, et les analphabètes de la sécurité peuvent utiliser et se sentir bien et partager aussi. C'est également une passerelle vers de bonnes pratiques de sécurité.

Pourquoi ne pas suivre les bonnes pratiques de sécurité quelles que soient les fuites?

Parce que changer régulièrement vos mots de passe est pas une bonne pratique de sécurité. C'est un hack et une solution de contournement.

La bonne pratique de sécurité serait de changer votre mot de passe chaque fois que vous avez des raisons de croire qu'il a été compromis. J'ai des mots de passe root inchangés depuis une décennie car il n'y a jamais eu de raison de soupçonner un compromis, il aurait donc été absurde de créer le coût d'un changement de mot de passe (même faible) sans raison.

Le conseil de changer régulièrement les mots de passe est ce que nous utilisons lorsque le suivi de la possibilité de compromis devient difficile ou coûteux, et un changement régulier est plus simple et moins cher que cela. Fondamentalement, le raisonnement est le suivant: "Si je n'ai aucune idée de la probabilité que mon mot de passe soit compromis, je vais simplement prendre une moyenne statistique et me méfier de la prudence".

Ainsi, lorsque des preuves réelles - telles que havibeenpwned - apparaissent, il est toujours préférable d'utiliser les données réelles sur toute heuristique estimée.

addenda:

Si vous recherchez un peu, vous pouvez trouver de nombreuses publications prônant contre des changements de mot de passe réguliers sans raison valable. Avertissement: Certains d'entre eux sont à moi. Cette absurdité peut être une pratique courante, mais que a) n'en fait pas une bonne pratique et b) ne signifie toujours pas qu'elle peut contenir une bougie données réelles .

La modification fréquente des mots de passe peut être une bonne pratique si vous utilisez un gestionnaire de mots de passe. Sinon, c'est une mauvaise idée car vous ne vous souvenez pas aussi facilement de bons mots de passe.

Une minorité de personnes utilise un gestionnaire de mots de passe. Et même si vous en utilisez un, je soupçonne que vous ne changez pas tous vos mots de passe aussi souvent. Il y a des services que j'utilise une fois tous les deux ou trois ans. Ou que j'ai créé un compte mais que je ne pourrais plus jamais utiliser. Vais-je y retourner et changer mon mot de passe tous les mois?

J'ai plus de 50 sites répertoriés dans mon gestionnaire de mots de passe. Changer tous ces mots de passe tous les mois environ serait trop de travail.

Pour vous protéger contre la fraude

Il y a une autre considération que je remarque que les gens n'ont pas couverte, dont la fraude d'identité et l'usurpation d'identité de l'entreprise compromise, dont le changement de mot de passe ne vous protégera pas.

Par exemple, il est courant pour les escrocs de collecter des informations divulguées, puis de se faire passer pour l'entreprise dont les informations ont été divulguées en utilisant les informations obtenues pour convaincre vous, ils ont "légitimement" accès à vos informations. Le FAI TalkTalk voit souvent des escrocs téléphoner, se faisant passer pour des ingénieurs de service TalkTalk, régurgitant les informations volées comme une "preuve" de leur authenticité.

De même, le fait de savoir quelles entreprises se sont fait voler leurs coordonnées vous permet de savoir quels vecteurs les escrocs essaieront d'utiliser contre vous. Par exemple, des détails sur Adobe ont été volés, et il est fort possible qu'un escroc puisse envoyer des messages à des personnes dont les comptes se trouvent sur Adobe, une soi-disant `` mise à jour urgente '' de leur logiciel Adobe, qui télécharge et installe en fait par malveillance des logiciels malveillants. Le fait de savoir que des informations ont été divulguées par Adobe vous permet de prendre des précautions supplémentaires contre cela.

Une alternative est si les informations divulguées concernent une activité que vous préférez ne pas rendre publique; vous pouvez ensuite prendre des mesures raisonnables pour faire nettoyer ces informations (comme la suppression du compte ou la modification des adresses e-mail).

Donc en résumé; vous vérifieriez régulièrement pour vous assurer que vous savez ce que les autres personnes (escrocs, fraudeurs d'identité, maîtres-chanteurs, etc.) connaissent à votre sujet.

Je vais aller à l'encontre de la tendance ici et être en désaccord avec les autres réponses:
Vous devez régulièrement changer vos mots de passe sur un service auquel vous ne faites pas confiance pour gérer vos données en toute sécurité.
Vous pouvez également consulter régulièrement votre gestionnaire de mots de passe pour ces sites et décider si vous en avez vraiment besoin. Sinon: envoyez un e-mail au fournisseur de services et demandez la suppression de votre compte et de toutes les données affiliées.

Les directives du NIST qui gèrent les mots de passe:

Les vérificateurs NE DEVRAIENT PAS exiger des secrets mémorisés^{lire: mots de passe} à changer arbitrairement (par exemple, périodiquement). Cependant, les vérificateurs DOIVENT forcer un changement s'il y a preuve de compromis de l'authentificateur .

Collection # 1 - qui est la raison du récent buzz autour de haveibeenpwned.com et Troy Hunt - est un excellent exemple pour la publication de preuves de compromis.

Pourquoi? Parce que c'est pas une nouvelle brèche .
Brian Krebs, expert en sécurité de renom a publié un rapport qui prétend que toutes les données qu'il contient ont au moins deux à trois ans. Son rapport contient en outre cette photo d'une conversation crédible avec un vendeur. Une capture d'écran de toutes les autres "collections" (une à cinq) et de deux autres énormes bases de données qui sont vendues avec la réclamation, qu'elles sont pleines d'informations d'identification de connexion. Dans l'ensemble, un terrabyte de données brutes d'un vendeur.

Alors, que signifie "publication non publique" dans ce contexte? Si vous avez un mot de passe fort et qu'il est correctement haché, aucun attaquant ne pourra le casser, quelle que soit la durée du vidage du mot de passe. Le problème est que de nombreux sites ne hachent pas correctement votre mot de passe. Et c'est là que le NIST intervient à nouveau. Ils ont adapté leurs directives vers changer les mots de passe, car cela n'avait aucun sens en ce qui concerne la partie de la directive qui traitait hachage des mots de passe et stockage des hachages .

Les vérificateurs DOIVENT stocker les secrets mémorisés sous une forme qui résiste aux attaques hors ligne. Les secrets mémorisés DOIVENT être salés et hachés à l'aide d'une fonction de dérivation de clé unidirectionnelle appropriée.

Alors qu'est-ce que tout cela signifie?
Conclusion:

1. Prémisse 1: Si un service stocke mon hachage de mot de passe en toute sécurité, les dates d'expiration arbitraires d'un mot de passe n'ont pas beaucoup de sens.
2. Prémisse 2: Les hacks se produisent tout le temps, seule une fraction est remarquée et/ou divulguée publiquement.
3. Mais si un service ne hache pas correctement votre mot de passe - et BEAUCOUP de services ne le font pas - les dates d'expiration des mots de passe ont du sens.
4. Comment savoir quel service stocke mes informations d'identification en toute sécurité? Certains certificats vous donnent des informations à ce sujet. Mais même les entreprises qui semblent très professionnelles de l'extérieur échouent. Les petites entreprises fonctionnent parfois très bien. C'est très difficile à dire.
5. Si des hacks se produisent tout le temps, les violations de mot de passe se produisent très souvent également. Comme nous l'avons vu, seule une partie des bases de données de mots de passe piratés sont consultables sur haveibeenpwned.
6. Modifiez donc régulièrement votre mot de passe sur des sites auxquels vous ne faites pas confiance. Encore une fois avec la mise en garde que vous devez utiliser un gestionnaire de mots de passe pour éviter la réutilisation des mots de passe et, si possible, l'authentification à 2 facteurs ou l'authentification à plusieurs facteurs.