On envoi pas un hash du mot de passe au service mais seulement les 5 premiers caractères, et le service renvoi une liste des hash compromis connus qui commencent par ce préfixe, en moyenne 400. Il suffit ensuite de vérifier en local si notre hash est dans la liste.
# Pwned Passwords
Posté par MCMic (site web personnel) . En réponse à la dépêche Sortie de LDAP Tool Box Self Service Password 1.3. Évalué à 6.
J’avais du mal à voir comment l’appel à une API externe pour cette histoire de mot de passe compromis pouvait ne pas être dangereux, j’ai cherché un peu et l’astuce est assez jolie:
https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/#cloudflareprivacyandkanonymity
On envoi pas un hash du mot de passe au service mais seulement les 5 premiers caractères, et le service renvoi une liste des hash compromis connus qui commencent par ce préfixe, en moyenne 400. Il suffit ensuite de vérifier en local si notre hash est dans la liste.