Classement des mots de passe les plus utilisés : 123456 en tête suivi de 123456789 et qwerty

**_skip** · 16/01/2017, 19h56

En fait je pense qu'on a longtemps encouragé les gens à complexifier les mots de passes en y ajoutant de la longueur puis tour à tour des chiffres, des majuscules et autres en se concentrant sur les attaques brute force idiotes et on a complètement oublié de considérer la probabilité statistique. En tant qu'attaquant, vous avez le choix entre tester toutes les possibilités au bol comme un con ce qui vous prend des jours, des mois ou des siècles, ou alors essayer des combinaisons que l'on sait fréquentes d'utilisation. Genre [username] / [username]123 ou [nomduservice]1234, admin / password et j'en passe.

Les gens ont besoin de pouvoir mémoriser leur dizaine de passwords, ça sert à rien de leur imposer des règles de complexité car ça ne les conduit qu'à suivre des patterns simples ou alors les noter sur des post-it. Le seul remède que j'ai trouvé personnellement c'est d'utiliser un portefeuille de MP comme Keepass avec une passphrase "master" qu'il mémorise, puis sinon des passwords générés par machine pour chaque service.

En tout cas ça fonctionne chez moi, c'est le seul moyen pour ma cervelle de moineau de mémoriser les quelques 120 mots de passe privés et professionnels dont je me sers sans les noter en clair dans un fichier.

**NSKis** · 16/01/2017, 23h38

Mais qu'est-ce-que c'est que ces théories à la con du style "C'est difficile à mémoriser des mots-de-passe trop long, trop compliqué"???

Est-ce que quelqu'un a entendu parler des "password manager"??? Il y en a des milliers de logiciels de ce type disponibles gratuitement pour toutes les plateformes imaginables!!!

1. Tu te fais des passwords compliqués

2. Tu les enregistres dans un "password manager" qui stocke les passwords de manière cryptées

3. Quand tu as besoin de ton password, tu lances ton "password manager", un "copier-coller" de ton password et l'affaire est jouée!!!

**joublie** · 17/01/2017, 01h23

Si l'on pense aux attaques par dictionnaires alors il n'y a pas à chercher les pires mots de passe : il faudrait plutôt en citer quelques centaines de milliers, tous vulnérables... En revanche, dans un cadre amateur, typiquement de l'espionnage " à la main " entre conjoints, une liste courte a du sens (et peut donner des idées !).

**Tagashy** · 17/01/2017, 08h54

[EDIT]petite question que je me pose comment ils ont eu les donnée pour faire leur statistique?
je vois deux possibilité:
1) un sondage (mais faut être sacrement con pour filer son password comme ça ... enfin vu le niveau de la bêtise humaine ces dernier temps, ça ne m'étonnerais pas plus que ça)
2) il disent être une société de gestionnaire de mot de passe ... stockage réversible des password ??? (ou pire backdoor dans le code source ... enfin ni l'une ni l'autre est bien ...)

cependant vu qu'ils parlent des mots de passe de bot et que ces dernier ne répondrais pas au sondage et n'utilise pas de gestionnaire de mot de passe, j'ai peur qu'il s'agisse de stockage réversible de mots de passe (autant dire que je ne fais pas confiance a cette entreprise) [/EDIT]
effectivement j'ai lue à la va vite le début au temps pour moi et merci de m'avoir montrer mon erreur @Pr3Nom

perso j'utilise toujours du random pour mes mots de passe mais j'en utilise que deux (un pour la boîte mail et un autre pour tous les autres site, je compte pas le mots de passe du taf qui lui est imposer par mon taf et change tout les 3 mois)
et la première chose que je fais lorsque je change de mot de passe est de désactiver toute les remplissage automatique du mot de passe jusqu'as ce que je l'ai appris par cœur, ça prend moins d'une semaine et ça stimule la mémoire (au niveau mnémotechnique ça fait un enchaînement de 6-7 petite séquence de 2-3 caractère )

**bclinton** · 17/01/2017, 09h15

J'imagine qu'ils font leur stat en utilisant un dictionnaire et un bruteforce sur les pwd cryptés.

Et ils sortent le palmarès des pwd crackés.

**Pr3Nom** · 17/01/2017, 09h18

Envoyé par Tagashy

petite question que je me pose comment ils ont eu les donnée pour faire leur statistique?
je vois deux possibilité:
1) un sondage (mais faut être sacrement con pour filer son password comme ça ... enfin vu le niveau de la bêtise humaine ces dernier temps, ça ne m'étonnerais pas plus que ça)
2) il disent être une société de gestionnaire de mot de passe ... stockage réversible des password ??? (ou pire backdoor dans le code source ... enfin ni l'une ni l'autre est bien ...)

cependant vu qu'ils parlent des mots de passe de bot et que ces dernier ne répondrais pas au sondage et n'utilise pas de gestionnaire de mot de passe, j'ai peur qu'il s'agisse de stockage réversible de mots de passe (autant dire que je ne fais pas confiance a cette entreprise)

Deuxième phrase de l'article :

Ce rapport a été établi sur la base d’environ 10 000 000 de mots de passe qui ont été rendus publics après les différentes violations de données survenues en 2016.

Relis l'article avant de crier au loup.

**satenske** · 17/01/2017, 10h43

Je pense qu'il est temps de ressortir ce bon vieux xkcd

Nom : password_strength.png
Affichages : 8253
Taille : 90,8 Ko

**Franck.H** · 17/01/2017, 11h50

Envoyé par Invité

Le changement de MdP peut être très chronophage.

Quand je bossais chez Cisco, on devait changer le bazar tous les 45 jours et croyez-moi, c'était vraiment galère parce qu'il y avait un check de dictionnaire qui se faisait dans plus de 90 langues/dialectes. Sans compter qu'il fallait inclure des majuscules, chiffres et ponctuation

Puis, l'expérience aidant, voilà comment je procède pour les MdP... Je vous donne quelques exemples et vous aurez vite compris

Ma meuf, elle porte du 90B :-P

!MmEpd90B:-P

Tiens, je suis à découvert de 200€ :-(

?TjSaDd200€:-(

L'anniversaire de mon fils, c'est le 5 mars 1992 :-)

*LadMfCl5031992:-)

Mes 4 chats s'appellent Becky, Venus, Chipie et Cookie

:!M4CsBVCC

Le stock Cisco est tombé à 20$ :-(

LsCSCO20$:-(

J'ai pas passé ces MdP au password checker, mais je sais d'avance qu'ils sont strongs

Steph

C'est ma méthode de création de password

**Franck.H** · 17/01/2017, 11h55

Envoyé par bodking01

Sinon, on peut mettre "incorrect" comme mot de passe comme ça si on oublie, on tape n'importe quoi et il dis "le mot de passe est incorrect"

**Aiekick** · 17/01/2017, 12h31

je comprends pas cette liste de mot de pass.

je m'attendait a avoir que des mot de passe facile a déduire, car facile a obtenir par paresse.

le qwertyuiop est logique, le 123456789 aussi par contre les pass :

- 18atcskd2w
- 1q2w3e4r
- 3rjs1la7qe

vous pouvez me dire d'ou viennent ces mot de passe ? il sont lié à quel type de clavier, ou référence a une culture geek ?

Merci.

**Aiekick** · 17/01/2017, 12h35

moi je me suis fait un soft qui me génère 1 mot de passe encodé selon le nom de domaine et le passkey de la bank de mot de pass que j'ai mit.

je fait cela uniquement pour les sites importants qui nécessite un mot de pass costaud, nécessitant des pass alpha numerique avec casse et char spéciaux.

un acces forum, ou il n'y a rien de spécial a protéger comme ici, j'ai un mot de passe banal.

**Gregoriz** · 17/01/2017, 14h57

Envoyé par Aiekick

- 1q2w3e4r

C'est le password ayant pour règle de prendre l'index de chaque lettre du pwd 'qwerty' et de le mettre devant chaque lettre:
qwer
1234

Fusionné en 1q2w3e4r

Par contre je suis d'accord que les autres j'ai pas trouvé encore. J'me demande de quel clavier il peut sagir.

**Traroth2** · 17/01/2017, 18h26

Ah, c'est pas en France que quelqu'un utiliserait qwerty comme mot de passe !

**Tagashy** · 18/01/2017, 08h36

@Aiekick
pour les autres mot de passe que 1q2w3e4r (sur mon qwertz (clavier allemand) tu fais juste haut bas haut bas ... en azerty ça donnerais 1a2z3e4r5t ...) c'est écrit dans l'article

(toi aussi tu fais comme moi et lis pas tout

) il s'agit de mot de passe de bot de spam et phishing

**disedorgue** · 18/01/2017, 13h36

Pour moi, le fait d'imposer des contraintes autres que orale sur le choix de son mot de passe est une erreur car cela réduit d'autant la plage de recherche du dit mot de passe.

Et je m'attendais à trouver un mot de passe qu'il m'arrive de temps à autre d'utilisé (très temporairement bien sur) : 1472583690 (voir pavé numérique pour comprendre)

**Olivier Famien** · 25/12/2017, 17h04

Classement des pires MdP 2017 : « 123456 » toujours en tête et « starwars » refait surface,
que conseillez-vous pour adopter des MdP difficiles à pirater ?

En 2003, le National Institute of Standards and Technology (NIST) a mandaté Bill Burr, un ingénieur de l’institut afin de concevoir un guide de bonnes pratiques pour l’adoption des mots de passe (MdP) difficiles à pirater. Après avoir travaillé sur la question, l’ingénieur a sorti un guide de huit pages baptisé « NIST Special Publication 800-63. Appendix A » qui conseille aux utilisateurs d’utiliser une série combinée de chiffres, lettres majuscules et minuscules et de caractères spéciaux pour élaborer des mots de passe forts. Et pour renforcer la sécurité de ces mots de passe, Bill Burr a suggéré de changer les mots de passe régulièrement.

Mais après plusieurs années d’observations, Burr est revenu en aout dernier pour expliquer que ces recommandations étaient trop difficiles à appliquer. C’est pourquoi le NIST a entrepris de nouveaux travaux à l’issue desquels il recommande désormais de ne plus s’embarrasser de mots de passe complexes difficiles à retenir, mais plutôt de composer des mots de passe avec des phrases longues et faciles à retenir, mais difficiles à pirater.

Plusieurs mois s’étant écoulés après cette recommandation, force est de constater que cette recommandation n’a nullement été suivie par certains utilisateurs. Et même pire, des mots de passe dénoncés comme peu sûrs et recommandés par de nombreuses organisations comme devant être évités continuent toujours d'être utilisés par de nombreuses personnes. SplashData qui est une entreprise investie dans la sécurisation des mots de passe a édité une liste des pires mots de passe de l’année 2017 en se basant sur 5 millions de mots de passe qui ont fuité cette année à la faveur des différents piratages qui sont survenus.

À travers les données analysées, SplashData fait remarquer que « 123456 » qui trône en première place depuis plusieurs années est encore en tête de liste dans ce nouveau classement. Pour les cinq autres mots de passe qui suivent, le classement de cette année est identique à celui de 2015 sorti par la même entreprise. « password », « 12345678 », « qwerty », « 12345 », « 123456789 » occupent respectivement la seconde, troisième, quatrième, cinquième et sixième place.

Nom : passwordeasy.jpg
Affichages : 6509
Taille : 253,1 Ko

Pour les 25 premiers mots de passe faciles à pirater, et donc qui doivent être évités, SplashData donne la liste suivante :

« 123456 »
« password »
« 12345678 »
« qwerty »
« 12345 »
« 123456789 »
« letmein »
« 1234567 »
« football »
« iloveyou »
« admin »
« welcome »
« monkey »
« login »
« abc123 »
« starwars »
« 123123 »
« dragon »
« passw0rd »
« master »
« hello »
« freedom »
« whatever »
« qazwsx »
« trustno1 »

Comme on peut le constater, certains mots de passe comme « qwerty » à la quatrième place, « admin », à la onzième place et « login » à la quatorzième place sont toujours utilisés par de nombreux utilisateurs en dépit des alertes données par les acteurs de la sécurité. D’autres par contre ont refait surface dans le top 100 comme « satrwars » qui avait été classé vingt-cinquième en 2015. Pour Morgan Slain, PDG de SplashData, « alors que le nouvel épisode peut être un ajout fantastique à la franchise Star Wars, “starwars” est un mot de passe dangereux à utiliser ». Il explique que « les pirates utilisent des termes courants de la culture pop et du sport pour accéder aux comptes en ligne parce qu’ils savent que beaucoup de gens utilisent ces mots faciles à mémoriser. »

En outre, ils « connaissent vos astuces, et le simple fait de peaufiner un mot de passe facile à deviner ne le rend pas sûr », a ajouté Slain. « Nous espérons que notre liste des mots de passe les plus mauvais de l’année incitera les gens à prendre des mesures pour se protéger en ligne », conclut-il dans le rapport.

Source : SplashData, Rapport du top 100 des mots de passe à éviter (PDF)

Et vous ?

Quel est votre avis sur ce rapport ?

Reconnaissez-vous dans ce rapport certains mots de passe que vous utilisez au quotidien ? Lesquels ?

Quelles solutions préconisez-vous pour éviter de composer des mots de passe faciles à pirater ?

Voir aussi

L’ingénieur du NIST qui a recommandé l’adoption des MdP difficiles à retenir regrette ce conseil, le NIST préconise les MdP longs et faciles à retenir

Classement des mots de passe les plus utilisés : 123456 en tête suivi de 123456789 et qwerty, quels sont selon vous les pires mots de passe à bannir ?

Classement des pires mots de passe de 2015 : « 123456 » et « password » conservent la première et seconde position

**jackk** · 25/12/2017, 17h38

Comme quoi on n'est pas si bêtes que ça en France, AZERTY ne figure pas dans la top list ;-)

**marsupial** · 25/12/2017, 18h26

Une méthode simple : ouvrir un livre au hasard d'une page et Choisir un mot dans une ligne y adjoindre des caractères spéciaux des chiffres des majuscules. Le plus dur étant de s'en souvenir, alors marquons la page.

**Lcf.vs** · 25/12/2017, 19h08

Envoyé par Olivier Famien

Quelles solutions préconisez-vous pour éviter de composer des mots de passe faciles à pirater ?

Comme je l'ai déjà dit plein de fois, sur ce forum : Retenir une phrase, si possible, multilingue.

Plus facile à retenir qu'un mdp complexe et, généralement, on y a des espaces et de la ponctuation, accents, etc.