Have I been pwned? (HIBP) est une création de l'expert en sécurité australien Troy Hunt (et qui travaille chez Microsoft). En saisissant une adresse email ou un nom d'utilisateur, ce service permet notamment aux internautes de savoir si un compte a été compromis en apparaissant dans une fuite de données, sans révéler un mot de passe associé.

HIBP vient de se doter d'une nouveauté baptisée Pwned Passwords qui rend cette fois-ci les mots de passe consultables sans les identifiants associés. Une collection de 306 millions de mots de passe " du monde réel " englobant plus d'un milliard de comptes qui ont été exposés dans des fuites de données.

Pour autant, Troy Hunt indique qu'il ne faut pas envoyer un mot activement utilisé à un service tiers… y compris à HIBP même si celui-ci est manifestement digne de confiance. L'outil Pwned Password ne devrait ainsi être employé que pour vérifier des mots de passe qui ne sont plus utilisés.

Pwned-Password-1

Dans un billet de blog, l'expert en sécurité écrit que le service pourrait être utilisé pour faire la démonstration à un ami ou collègue qu'il ne faut pas avoir recours à un tel mot de passe pris en exemple dans la mesure où il a déjà été compromis.

Troy Hunt imagine aussi que des fournisseurs de services pourront s'appuyer sur les données pour par exemple inciter une personne enregistrant un nouveau compte à ne pas opter pour un mot de passe qui a été compromis par le passé. L'idée n'est pas nouvelle mais c'est ici à une grande échelle.