Tolk.ai utilise la librairie zxcvbn, un algorithme développé par Dropbox qui évalue la robustesse d'un mot de passe en fonction de sa prédictibilité plutôt que de critères arbitraires de complexité.
ZXCVBN mesure la sécurité d'un mot de passe par son "entropie", un meilleur indicateur du temps nécessaire pour le deviner par force brute. L'algorithme analyse les schémas courants (comme "AZERTY"), calcule l'entropie de chaque schéma, et compare le mot de passe à des dictionnaires de mots et schémas courants.
Pourquoi cette approche ? Les substitutions simples comme "M0td3P@$sE" sont presque aussi faciles à deviner que "motdepasse" pour les logiciels de piratage modernes. Un mot de passe long et imprévisible est plus sûr qu'un mot de passe court avec des caractères spéciaux.
Les utilisateurs et administrateurs peuvent modifier leur mot de passe uniquement via la fonctionnalité "mot de passe perdu". Un email contenant un lien unique avec durée de vie limitée est envoyé. Ce processus garantit que seul l'utilisateur peut modifier son mot de passe.
Les mots de passe sont chiffrés avant d'être enregistrés en base de données. Lors de l'authentification, le mot de passe saisi est également chiffré et la comparaison s'effectue entre les deux versions chiffrées. Tolk.ai ne stocke jamais les mots de passe en clair et ne les demande jamais par email ou téléphone.