Massive data breach : passwords of 272 million e-mail users
Russian hackers managed to obtain 272 million e-mail & passwords, mainly from mail.ru (57 million) , but also yahoo (40M), hotmail (33M) , and gmail (24M).
This was discovered when a young hacker couldn’t keep himself from bragging in an online forum.
▻http://www.reuters.com/article/us-cyber-passwords-idUSKCN0XV1I6
Warning: it is not Gmail accounts and passwords, it is email addresses (some in gmail.com) with passwords OF ANOTHER SERVICE. There is a security risk for the Gmail account only if the user used the same password for Gmail and the other service.
Un bon exemple qui conforte l’objectif de Mozilla Persona (qui malheureusement est en train d’être abandonné) :
voici comment il était présenté :
> Le mécanisme le plus répandu, basé sur le couple identifiant/mot de passe, n’est pas tenable : on demande aux utilisateurs de créer et de retenir un nouveau mot de passe complexe pour chaque site ou service qu’ils utilisent, et chaque site doit stocker de son côté les mots de passe de manière sécurisée. Pourtant, des intrusions récentes montrent que même des entreprises de premier plan peuvent avoir des failles dans la sécurité de leur base de mots de passe, ce qui met en danger les informations de leurs utilisateurs.
>
> Persona est un système de gestion des identités ouvert, distribué, adapté à l’échelle d’internet, qui remplace le système des mots de passe par site. Il répond aux limitations en termes d’ergonomie et de vie privée que peuvent rencontrer des systèmes comme OpenID, sans avoir recours à une infrastructure centralisée comme le fait Facebook Connect.
>
> [...]
>
> Au lieu d’utiliser un mot de passe pour chaque site, Persona permet aux utillisateurs de se connecter en seulement deux clics après avoir réalisé un processus simple une seule fois pour chacune de leurs identités en ligne. Le processus est totalement sécurisé et basé sur les principes de la cryptographie à clé publique. Plutôt qu’un mot de passe, le navigateur internet de l’utilisateur génère ensuite une « assertion d’identité » chiffrée, qui expire après quelques minutes et n’est valable que pour un seul site. Du fait qu’il n’y a plus de mot de passe spécifique pour chaque site, les sites utilisant Persona n’ont plus à se préoccuper du stockage sécurisé des mots de passe ou de la perte éventuelle de leur base de mots de passe.
> ▻https://developer.mozilla.org/fr/Persona/Pourquoi_Persona
[...]
> PERSONA EST FLEXIBLE
> Avec Persona, votre identité est votre adresse électronique. Vous pouvez utiliser autant d’adresses que vous le souhaitez, mais vous n’avez toujours besoin que d’un seul mot de passe.
> ►https://login.persona.org