L’outil DiagnoPhish de Navixia indique si un mot de passe est compromis

Editeur vaudois spécialisé en sécurité IT, Navixia a doté sa plateforme DiagnoPhish d’un mode de vérification de mot de passe exploitant l’API Pwned Passwords. Proposé par le spécialiste australien en sécurité IT Troy Hunt, ce service vient compléter l’outil Have I Been Pwned (HIBP) et permet de vérifier si un mot de passe a déjà été compromis lors d’un vol de données. Consultable en ligne, la base de données de Troy Hunt est donc également accessible via des API, sites web et applications tierces pouvant de ce fait intégrer une vérification supplémentaire concernant le choix d'un mot de passe.

Security Architect chez Navixia, Tristan Leiter explique à ICTjournal que l’outil mis à disposition par Troy Hunt s’est révélé particulièrement intéressant car il procède à la vérification sans utiliser le mot de passe en entier. Une capacité qui tire profit du modèle de chiffrement k-Anonymity. «L’API est très bien conçue, l’implémentation dans DiagnoPhish n’a duré que quelque heures», précise le Security Architect.

Solution de prévention contre le phishing, DiagnoPhish permet de mener des campagnes de sensibilisation aux tentatives de hameçonnage. Les tests sont susceptibles de piéger les utilisateurs via des e-mails qui les rédirigent vers de faux sites où ils sont invités à saisir identifiant et mot de passe. DiagnoPhish indique au responsable d’une campagne la sûreté des mots de passe fournis, en se basant notamment sur leur fréquence d’utilisation et sur des recommandations de création de mots de passe forts. Avec l’intégration de l’API Pwned Passwords, DiagnoPhish indique désormais également si un mot de passe fait partie des plusieurs centaines de millions de mots de passe déjà compromis.