Discussion :

[Hinault Romaric]

SplashData classe les pires mots de passe de 2014
« 123456 » apparaît en première position, suivi de « password »

Le mot de passe est un des éléments essentiels de la sécurité des systèmes d’information. Le couple mot de passe/identifiant de l’utilisateur est le moyen d’authentification le plus utilisé par les services en ligne.

Malgré les opérations de sensibilisation, le mot de passe reste toujours, cependant, l’un des maillons faibles de la sécurité, car les utilisateurs ont tendance à adopter des mots de passe courts, facilement prévisibles, alors qu’il est conseillé d’utiliser des mots de passe forts, qui respectent certaines conditions.

SplashData, un éditeur d’applications de gestion de mots de passe, s’est lancé, depuis quelques années, dans une opération de sensibilisation, grâce au classement des « pires mots de passe » les plus utilisés par les internautes. Le classement de SplashData a été effectué en s’appuyant sur l’analyse de 3,3 millions de mots de passe qui ont été divulgués par les pirates au cours de l’année 2014. La plupart des données provient de l’Amérique du Nord et de l’Europe occidentale.

Pour 2014, le mot de passe « 123456 » demeure le pire mot de passe le plus utilisé, suivi de près par « password ». On retrouve également des mots de passe comme « querty », « abc123 », ou encore « monkey ». Certains mots de passe ont fait leur entrée pour la première fois dans la liste, dont « football », « master » et « superman ».

Pratiquement dix des 25 pires mots reposent uniquement sur des chiffres. Il ne s’agit pas des chiffres choisis au hasard, mais des combinaisons qui sont facilement prévisibles comme « 1234 », ou encore « 111111 ».

SplashData note cependant que le taux d’utilisation de ces mots de passe a légèrement baissé par rapport aux années antérieures. « La bonne nouvelle est que les internautes s’éloignent peu à peu de ces mots de passe », affirme SplashData dans un billet sur son site. « En 2014, les 25 premiers mots de passe représentaient environ 2,2% de mots de passe exposés. Bien que ce chiffre soit toujours effrayant, il représente le plus faible pourcentage de personnes utilisant les pires mots de passe, depuis le début de notre étude. »


Source : CP de SplashData


Et vous ?

Qu'en pensez-vous ? Quel est le pire mot de passe que vous ayez déjà utilisé ? Vous reconnaissez-vous dans cette liste ?

Quel est votre stratégie pour créer un mot de passe fort ?

[tiresias54]

mettre "master" en mot de passe c'est un peu comme s'apeller "LeBoGossDu59" sur un chat.

[codec_abc]

C'est clair que d'utiliser un mot de passe faible c'est pas très malin. Mais ce qui me choque encore plus que les personnes un peu stupide qui utilisent des mots de passes faibles, c'est les entreprises qui stockent les mots de passe en clair. Quand l'APEC et la Poste Mobile sont capables de m'envoyer mon mot de passe en clair je me dis que c'est bien beau de d'essayer d'éduquer les utilisateurs quand certains développeurs sont encore plus nuls en matière de sécurité. De même les mots de passes dans la liste ne devraient pas pouvoir être utilisés. C'est aussi de la responsabilité de l'entreprise qui va stocker des mots de passes d'interdire à ses utilisateurs de choisir des mots de passes faibles. Bref, l'utilisateur sert souvent de bouc émissaire quand la faute première n'est pas la sienne.

[Zefling]

Quand l'APEC et la Poste Mobile sont capables de m'envoyer mon mot de passe en clair je me dis que c'est bien beau de d'essayer d'éduquer les utilisateurs quand certains développeurs sont encore plus nuls en matière de sécurité.

Ça aussi ça me choc. Pour moi, un mot de passe doit être hashé.

[Saverok]

Ça aussi ça me choc. Pour moi, un mot de passe doit être hashé.

C'est désormais une obligation imposée par la CNIL
De même qu'il est interdit d'utiliser les données de prod en recette et en dev (bien évidemment, on a tous connu ça)

Par contre, vu les moyens de la CNIL et le nombre de sites à contrôler, ça prend du temps

[ZenZiTone]

C'est clair que d'utiliser un mot de passe faible c'est pas très malin.[...] C'est aussi de la responsabilité de l'entreprise qui va stocker des mots de passes d'interdire à ses utilisateurs de choisir des mots de passes faibles.

Il ne faut pas oublier que beaucoup de compte "bidons" sont créés. Ce qui fausse un peut le résultat de l'enquête.

De plus "forcer" l'utilisateur à mettre un mot de passe fort peut le faire fuir.

Exemple bête, mais si tu veux t'inscrire sur un site de recherche de logement par exemple, il faut:

Nom,
Prénom,
Adresse,
JJMMAAAA de naissance,
Sexe,
Situation professionnelle,
Mot de passe fort (min 8 car avec chiffres lettres et caractères spéciaux),
Retaper le code pour dire "je suis pas un robot",
Valider,
Confirmer en cliquant sur le lien du mail reçu,
Cliquer sur "mot de passe oublié" le lendemain en voulant y rejeter un œil...

Là on est quasi dans les pire cas, mais les procédures d'identifications sont loin d'être évidentes !

[Nairolf21]

C'est bien de fournir une telle liste, comme cela, si l'on souhaite hacker un utilisateur, on n'a qu'à tester les 100 premiers mots de passes, on trouvera bien des gens qui les utilisent !

[esired]

J'ai des collègues (analystes programmeurs) qui utilisent des mots de passe qui sont dans cette liste

[Mingolito]

Moi je suis tranquille personne ne trouvera mon nouveau mot de passe car il est super long, c'est : "jesuischarlie".
J’utilise le même mot de passe pour tous les services que j'utilise c'est plus sur .

[Pierre Louis Chevalier]

C'est bien de fournir une telle liste, comme cela, si l'on souhaite hacker un utilisateur, on n'a qu'à tester les 100 premiers mots de passes, on trouvera bien des gens qui les utilisent !

C'est le principe, les logiciels de cracking de base utilisent un "dico" qui se base sur les mots du vocabulaire plus les mots de passe les plus courant, avec ça tu arrive à hacker pas mal de comptes.

Si tu veux hacker un compte qui à un mot de passe plus sécurisé : avec un mélange de lettres en majuscule, minuscule, et chiffres , voir des caractères spéciaux, comme par exemple "Sdn7jer*9Ls-r'5" c'est pas forcément impossible mais cela prends bien plus de temps.

Un autre gros problème de sécurité c'est tous les services qui utilisent les emails comme login, hors avec les robots de captures il y à énormément d'emails qui circulent dans les listes de spams, donc les emails les hackers les ont, il leurs restent juste à casser le password.

Si les très nombreux crétins qui demandent l 'email aux utilisateurs comme nom de compte avait demandé aux utilisateur de créer un compte de login (sécurisé tant qu'à faire) , c'est comme s'il y avais deux mots de passe à cracker, donc bien plus sur.

Un très grand nombre de sociétés, dont des sociétés de jeux en ligne qui utilisent les emails comme login se sont faits pirater des centaines de milliers de comptes.
Pourtant cette erreur cruciale à été commise même chez les plus connus du marché.

Donc tu achètes une base de 10 millions d'email via l'undernet pour quelques euros, tu as plus qu'à balancer ta liste d'email en testant les mots de passe les plus courant et tu peu pirater des tonnes de comptes...

[fredinkan]

Tiens... Les gens qui crient aux mots de passe pas hashés...

ça me fait penser que le dans dernier leak de comptes sony (dont les comptes station des joueurs PC), les mots de passes étaient en clair...
Et le dernier leak a suivi d'un jour le "hacking" de sony pictures.

Ca fait peur...

[Vinorcola]

C'est aussi de la responsabilité de l'entreprise qui va stocker des mots de passes d'interdire à ses utilisateurs de choisir des mots de passes faibles.

Pas du tout d'accord avec ça.C'est la responsabilité de l'entreprise de SENSIBILISER ses utilisateurs et de les INCITER à mettre des mots de passes plus fort, mais en aucun cas à les obliger. Il n'y a rien de plus débile que d'obliger l'utilisateur à mettre un chiffre, une majuscule, un caractère non-alphanumérique etc. C'est autant d'indications que vous donnez au pirate : ça réduit la liste des mots de passes disponible et théoriquement améliore le rendement de la force brute ! De plus, cela encourage les gens à rajouter "0#" (ou un pattern très similaire) par exemple devant ou derrière leur mot de passe : "azerty" devient "0#azerty" (youhou ! quelle progression fulgurante).

Donc non, non, et non. Il faut encourager les gens, mais pas les restreindre. Restreindre vos utilisateur, c'es restreindre le champ de manœuvre du pirate (donc de lui simplifier la tâche).

[esired]

Moi je suis tranquille personne ne trouvera mon nouveau mot de passe car il est super long, c'est : "jesuischarlie".
J’utilise le même mot de passe pour tous les services que j'utilise c'est plus sur .

J'espère que la seconde phrase est aussi un troll

[psychadelic]

Un vieux gag, mais toujours d'actualité


Créez votre mot de passe :
- "carotte"

Désolé, votre mot de passe doit faire plus de 8 caractères.
- "carottegéante"

Désolé, votre mot de passe doit contenir un chiffre.
- "1carottegéante"

Désolé, votre mot de passe ne doit pas contenir de caractère accentué.
- "50putaindecarottesgeantes"

Désolé, votre mot de passe doit contenir au moins une majuscule.
- "50PUTAINdecarottesgeantes"

Désolé, votre mot de passe ne doit pas contenir deux majuscules consécutives.
- "50PutainDeCarottesGeantesQueJeVaisTeMettreAuCulSiTuNeMedonnesPasImmediateme
ntUnAcces!"

Désolé, votre mot de passe ne doit pas contenir de caractère de ponctuation.
- "AttentionMaintenantJeVaisAllerTeTrouverEtTeMettreVraimentLes50CarottesGeant
esdansletrouducul"

Désolé, ce mot de passe est déjà utilisé....

[Pierre Louis Chevalier]

C'est la responsabilité de l'entreprise de SENSIBILISER ses utilisateurs et de les INCITER à mettre des mots de passes plus fort, mais en aucun cas à les obliger.

Si il faut les obliger car généralement les gens sont très con et très feignant, cette étude le prouve

[codec_abc]

Pas du tout d'accord avec ça.C'est la responsabilité de l'entreprise de SENSIBILISER ses utilisateurs et de les INCITER à mettre des mots de passes plus fort, mais en aucun cas à les obliger. Il n'y a rien de plus débile que d'obliger l'utilisateur à mettre un chiffre, une majuscule, un caractère non-alphanumérique etc. C'est autant d'indications que vous donnez au pirate : ça réduit la liste des mots de passes disponible et théoriquement améliore le rendement de la force brute ! De plus, cela encourage les gens à rajouter "0#" (ou un pattern très similaire) par exemple devant ou derrière leur mot de passe : "azerty" devient "0#azerty" (youhou ! quelle progression fulgurante).

Donc non, non, et non. Il faut encourager les gens, mais pas les restreindre. Restreindre vos utilisateur, c'es restreindre le champ de manœuvre du pirate (donc de lui simplifier la tâche).

Je ne peux pas être plus en désaccord. Prenons un exemple :
Si on a un mot de passe qu'avec des lettres qui fait 8 caractères de long on a 26^8 combinaisons possibles, ce qui fait (d'après Google) : 208827064576
Maintenant si on considère possible de mettre une majuscule n'importe ou on a 52^8 combinaisons ce qui fait (toujours d'après Google) : 5.3459729e+13
Si on retire les 26^8 premières combinaisons (que l'on ne s’ennuiera pas à tester puisque non possible) ça fait (toujours d'après Google) : 5.3250901e+13

Bref, augmenter la complexité du mot de passe en augmentant le jeu de caractères fait rapidement exploser le coté combinatoire de la chose et rend l'attaque par force brute beaucoup plus difficile.
Ensuite, forcer l'utilisateur à mettre un mot de passe compliqué c'est le sensibiliser par la même occasion. On lui fait passer le message "C'est pas bien de mettre un mot de passe bidon" à chaque fois qu'il/elle essaye d'entrer un mot de passe trop simple. Parce qu'il faut rester honnête, personne ne va oser mettre un film ou un texte de 3 pages pour sensibiliser un utilisateur à la sécurité de son mot de passe. De toute façon, personne ne le lirait/regarderait. Si malgré tout ça, la personne choisit de mettre un mot de passe trop simple tant pis pour elle. Mais au moins on aura fait le maximum pour l'aider à ne pas se faire hacker son compte.

[Alvaten]

Qu'en pensez-vous ? Quel est le pire mot de passe que vous ayez déjà utilisé ? Vous reconnaissez-vous dans cette liste ?

J'utilise un mot de passe assez faible quand je doit m'inscrire sur un site "peu important". Simple à casser, mais simple à retenir et saisir. Les mêmes sites sur lesquelles je m'inscris avec une adresse poubelle.

Quel est votre stratégie pour créer un mot de passe fort ?

J'utilise KeyPass et des longs mots de passe aléatoires.

Sinon une bonne astuce que j'ai donné à mon père pour générer un mot de passe fort simple à retenir :

Partir d'une chose simple à retenir et la "complexifier" :
ChatonMignon => Ch@t0n#M!gn0n

Il faut évidement rendre le mot de passe suffisamment complexe pour résister aux variantes des attaques au dictionnaire.

[zoonel]

Je ne peux pas être plus en désaccord. Prenons un exemple :
Si on a un mot de passe qu'avec des lettres qui fait 8 caractères de long on a 26^8 combinaisons possibles, ce qui fait (d'après Google) : 208827064576
Maintenant si on considère possible de mettre une majuscule n'importe ou on a 52^8 combinaisons ce qui fait (toujours d'après Google) : 5.3459729e+13
Si on retire les 26^8 premières combinaisons (que l'on ne s’ennuiera pas à tester puisque non possible) ça fait (toujours d'après Google) : 5.3250901e+13

Bref, augmenter la complexité du mot de passe en augmentant le jeu de caractères fait rapidement exploser le coté combinatoire de la chose et rend l'attaque par force brute beaucoup plus difficile.

Non non non et non !!!!
Augmenter la complexité en augmentant le jeu de caractère ne fait pas exploser le coté combinatoire de la chose, c'est un des reproche que j'avais y'a qques années avec ces sois disant vérificateur de complexité de mdp.
Si tu veux un bon mot de passe, il doit être long. Plus c'est long plus c'est complexe et impossible à casser.
regarde tes chiffres, avec 8 charactères, en doublant le jeu de charactères tu n'obtiens qu'un facteur 256 ce qui est ridicule et ne fait pas du tout exploser la chose. En augmentant la longueur à 10 charactères tu obtiens un facteur 676 , plus du double. Maintenant si tu doubles le nombre de charactères à 16, tu à un facteur 208827064576 , et là on peut en effet parler d'explosion.
Bref plus c'est long, mieux c'est !

Et pour en revenir à la news, j'ai aussi quelques mdp dans la liste. Mais c'est des comptes poubelles et je m'en contrefout que ça se fasse pirater. Le plus souvent c'est utiliser conjointement avec un compte mail jetable.

[Saverok]

Augmenter la complexité en augmentant le jeu de caractère ne fait pas exploser le coté combinatoire de la chose, c'est un des reproche que j'avais y'a qques années avec ces sois disant vérificateur de complexité de mdp.
Si tu veux un bon mot de passe, il doit être long. Plus c'est long plus c'est complexe et impossible à casser.
regarde tes chiffres, avec 8 charactères, en doublant le jeu de charactères tu n'obtiens qu'un facteur 256 ce qui est ridicule et ne fait pas du tout exploser la chose. En augmentant la longueur à 10 charactères tu obtiens un facteur 676 , plus du double. Maintenant si tu doubles le nombre de charactères à 16, tu à un facteur 208827064576 , et là on peut en effet parler d'explosion.
Bref plus c'est long, mieux c'est !

Et si tu combines un jeu de caractères large avec une longueur suffisante, non ?
Enfin, je dis ça, je ne dis rien

Dans une utilisation "client friendly", tu ne peux pas imposer une longueur minimale de 20 caractères pour un mdp.
C'est tout simplement inacceptable pour tous les clients qui n'y connaissent rien en info et c'est la très large majorité (oui, keypass est un excellent outil mais totalement inconnu des non informaticiens)
Du coup, il faut combiner : jeu de caractères large (case sensitif, alpha-numérique, + longueur minimale de 8 caractères, par exemple

Personnellement, j'aime bien ajouter la double authentification, mais là, on commence à sortir du sujet

[codec_abc]

Et si tu combines un jeu de caractères large avec une longueur suffisante, non ?

Effectivement, ca me parait la meilleur solution. Augmenter le jeu de caractères augmente le nombre de complexité et donc rend l'attaque par force brute plus difficile. A taille équivalente un mot de passe utilisant un jeu de caractères plus grand qu'un autre sera plus dur à craquer. Après ne me faites par dire (ou écrire) ce que je n'ai pas dit. Un mot de passe long est meilleur qu'un mot de passe court. Mais prétendre qu'un mot de passe long est toujours meilleur qu'un mot de passe court indépendamment des jeux de caractères des deux est faux.