Discussion :

[Axel Lecomte]

« 123456 » est de loin le pire mot de passe de 2020,
il a été utilisé plus de 2,5 millions de fois et devance largement « 123456789 », d'après une étude

Bien que le piratage informatique et le vol de mots de passe soient devenus de plus en plus courants ces dernières années, la grande majorité des internautes ne prennent même pas la peine de renforcer la sécurité de leurs mots de passe. Ils préfèrent utiliser des mots de passe simples, faciles à retenir et qui sont aussi faciles à déchiffrer que des mots de passe forts et uniques. Ce constat est confirmé par le nouveau rapport annuel sur l'état de la sécurité des mots de passe publié par le NordPass.

Le mercredi 18 novembre, l’entreprise a révélé les 200 mots de passe les plus utilisés de l'année 2020. Et comme depuis plusieurs années, le pire mot de passe de cette année reste toujours le fameux « 123456 ». Il est à noter que « 123456 » est sur le trône des pires mots de passe du monde depuis 2013, à l'exception de l'année 2019 où il a été classé deuxième, battu par son voisin « 12345 ». D’ailleurs, « 123456 » a été utilisé 2 543 285 fois par les internautes. Ce chiffre est loin d'être battu par le deuxième du classement « 123456789 », qui ne compte que 961 435 utilisations.

Outre les deux mots de passe mentionnés ci-dessus, ce rapport montre aussi que « picture1 », « password » et « 12345678 » occupent également la tête du classement et sont considérés comme les options les plus populaires de cette année.

« Évitez d'utiliser des mots du dictionnaire, des combinaisons de nombres ou des chaînes de combinaisons de touches adjacentes. Par exemple, « password », « qwerty » ou « 123456 » sont des mots de passe terribles, car ils sont trop faciles à déchiffrer. De plus, évitez les caractères répétitifs, tels que « aaaa » ou « 123abc », et ne choisissez en aucun cas des mots de passe basés sur des informations personnelles qui pourraient ne pas être totalement confidentielles, tels que votre numéro de téléphone, votre date de naissance ou votre nom », a indiqué NordPass dans le but de mettre en garde les internautes dans la création de leurs mots de passe.

Découvrez ci-dessous le top 100 des mots de passe les plus utilisés de l'année 2020. Il est basé sur l'ensemble des données recueillies NordPass.

Classement	Mot de passe	Nombre de fois qu’il a été utilisé
1	123456	2 543 285
2	123456789	961 435
3	picture1	371 612
4	password	360 467
5	12345678	322 187
6	111111	230 507
7	123123	189 327
8	12345	188 268
9	1234567890	171 724
10	senha	167 728
11	1234567	165 909
12	qwerty	156 765
13	abc123	151 804
14	Million2	143 664
15	000000	122 982
16	1234	112 297
17	iloveyou	106 327
18	aaron431	90 256
19	password1	87 556
20	qqww1122	85 476
21	123	84 438
22	omgpop	77 492
23	123321	73 506
24	654321	69 148
25	qwertyuiop	64 632
26	qwer123456	58 096
27	123456a	57 472
28	a123456	55 548
29	666666	53 146
30	asdfghjkl	52 961
31	ashley	52 031
32	987654321	50 097
33	unknown	47 995
34	zxcvbnm	46 952
35	112233	46 450
36	chatbooks	45 883
37	20100728	44 914
38	123123123	42 781
39	princess	42 230
40	jacket025	41 909
41	evite	41 720
42	123abc	40 431
43	123qwe	40 203
44	sunshine	39 456
45	121212	39 342
46	dragon	39 011
47	1q2w3e4r	38 865
48	5201314	38 307
49	159753	38 028
50	123456789	37 280
51	pokemon	37 197
52	qwerty123	35 827
53	Bangbang123	35 545
54	jobandtalent	34 512
55	monkey	34 124
56	1qaz2wsx	33 819
57	abcd1234	33 179
58	default	32 486
59	aaaaaa	31 939
60	soccer	31 805
61	123654	31 649
62	ohmnamah23	31 288
63	12345678910	31 097
64	zing	30 979
65	shadow	30 751
66	102030	30 664
67	11111111	30 336
68	asdfgh	30 281
69	147258369	29 432
70	qazwsx	29 192
71	qwe123	28 926
72	michael	28 754
73	football	28 496
74	baseball	28 278
75	1q2w3e4r5t	28 092
76	party	27 907
77	daniel	27 076
78	asdasd	26 837
79	222222	26 836
80	myspace1	26 363
81	asd123	26 310
82	555555	26 187
83	a123456789	26 051
84	888888	25 736
85	7777777	25 634
86	fuckyou	25 618
87	1234qwer	25 598
88	superman	25 557
89	147258	24 643
90	999999	24 534
91	159357	24 359
92	love123	23 758
93	tigger	23 706
94	purple	23 214
95	samantha	23 168
96	charlie	23 157
97	babygirl	23 139
98	88888888	22 984
99	jordan23	22 711
100	789456123	22 592

Pour obtenir toutes ces données, NordPass et ses partenaires ont analysé 275 699 516 mots de passe divulgués lors de violations de données en 2020. Ils ont également constaté que les mots de passe les plus courants sont les plus faciles à deviner. Pour les déchiffrer, les attaquants ne prendraient que quelques secondes, voire moins d'une seconde s'ils utilisent des scripts de dictionnaire ou de simples suppositions humaines. Pour le top 10 de la liste, « picture1 » fait figure d'exception en ce qui concerne le temps qu'il faudrait pour le déchiffrer, puisqu'il suffirait d'environ 3 heures pour le déchiffrer avec une attaque par force brute. Sur les 275 699 516 mots de passe enregistrés, à peine 44 % ont été considérés comme étant uniques.

En ce qui concerne les catégories de mots de passe les plus découvertes cette année, les internautes sont habitués à confier la sécurité de leurs identifiants de connexion à des mots de passe mémorisables : chiffres, noms, divertissement, mots positifs ou lettres aléatoires.

« La majorité des gens utilisent des mots de passe simples et faciles à retenir, car c'est pratique. Mais le problème est que la plupart des mots de passe mémorables sont très vulnérables au craquage », ont déclaré les recherches.

Par rapport à l'année dernière, « password » a connu cette année une baisse considérable de son utilisation. Après avoir été utilisé 830 846 fois en 2019, ce nombre est divisé par près de 3 pour cette année, puisque seuls 360 467 internautes l'utilisent encore. En revanche, il a néanmoins grimpé dans les classements après s'être classé cinquième l'année dernière. Entre autres, « picture1 » est nouveau sur la liste et est même monté dans le top 3 cette année.

Pour aider les internautes à créer des mots de passe plus solides et plus sécurisés, le fournisseur de solutions de gestion des mots de passe suggère d'utiliser un mot de passe long, composé d'un mélange de caractères, de chiffres et aussi de symboles.

« Ne réutilisez jamais les mots de passe sur plusieurs comptes. Créez-en un unique pour chaque compte et rendez-les longs - ne vous contentez pas de moins de 12 caractères, encore plus si vous le pouvez. Utilisez un mélange de lettres majuscules et minuscules, de chiffres et de symboles pour réduire considérablement le risque de faire craquer vos mots de passe. Assurez-vous également de changer vos mots de passe au moins tous les 90 jours. Pour créer un mot de passe complexe et robuste, profitez d'un générateur de mots de passe », a notamment recommandé NordPass.

Source : NordPass

Et vous ?

Utilisez-vous un des mots de passe énumérés ? Si oui, pourquoi ?
D'après vous, pourquoi ces mots de passe sont toujours utilisés par les internautes ?
Comment procédez-vous pour choisir votre mot de passe ?

Voir aussi :

"12345" et "password" figurent en tête de liste des 100 pires mots de passe de 2019, d'après une liste compilée par des chercheurs indépendants
Les pires mots de passe 2018 : « 123456 » trône en tête du classement pour la cinquième année consécutive, et est suivi par « password » comme en 2017
Classement des mots de passe les plus utilisés : 123456 en tête suivi de 123456789 et qwerty, quels sont selon vous les pires mots de passe à bannir ?
69 % des employés révèlent leurs mots de passe à leurs collègues, d'après une enquête menée par Yubico et Ponemon
99 % des utilisateurs réutilisent leur mot de passe sur près de trois comptes en raison du désir de commodité et de rapidité lors de la navigation sur les différents comptes,, révèle un rapport

[forthx]

Utilisez-vous un des mots de passe énumérés ? Si oui, pourquoi ?

Oui !
Beaucoup de sites/services impose de posséder un compte. même pour un usage ponctuel. Personnellement je me contrefiche de la sécurité de tel comptes. Si possible le service sera relier a une adresse mail poubelle.
Dans ce cas de figure 2 raisons m’amènes a utiliser un mot de passe complètement bidon.

La première est très simple :
De plus en plus de services imposent des règles de mdp (taille, char spéciaux, chiffres, ...)
J'ai donc un mdp bidon adaptable au besoin (i.e. bonjour/bonjour0/Bonjour!/b0njour!) Ca me permet de respecter: la maj, les chiffres et les lettres, le char spécial et une taille mini de 8 char. Ca couvre donc l'essentiel des règles habituelles et en 4 tentatives je retrouve mon mdp perdu au besoin
Ca peut paretre con mais quant on utilise un mail type 10min mail, on ne peut pas récupérer un mdp par mail ensuite !

La seconde raison c'est que chaque fois qu'un site fuite des information si j'ai créé un compte bidon dessus, mon mot de passe se retrouve dans un dico. Je doit donc les changer. Avouez que ce n'est pas pratique ! Du coup avec ce mot de passe bidon, je n'ai rien a faire, il est DEJA dans le dico !

Un cas particulier est celui de ma banque : le système n'autorise depuis peu qu'un mot de passe de 8 chiffres ! Je passe donc d'un mdp de 24 char 8 bits (7 exploités soit 168 bit casser)
a 8 char d'au mieux 4 bits soit 32 bits ^^). Bravo la banque... ce doit être elle qui à mon mot de passe le plus simple a craker.

D'après vous, pourquoi ces mots de passe sont toujours utilisés par les internautes ?

- Pour des raison de simplicités essentiellement.
- Car les usagers n’ont pas a cœur de sécuriser l’accès à certains services qu'ils utilisent (je plaide coupable)
- Car on est contraint de créé un compte pour un oui ou pour un non (Selon moi c'est la raison primaire)
- Car les usagés n'ont pas conscience du danger ! ( en tout cas c'est la raison a la mode)

Comment procédez-vous pour choisir votre mot de passe ?

J'ai une liste plus ou moins complexe qui me permet de choisir un mdp en fonction du cas d'usage.
haute sécurité : info perso/ banque/ administratif -> mdp unique et relativement complexe
sécurité moyenne : mail, jeux, -> mdp unique mais facile à retenir.
sécurité faible : le reste -> mdp potentiellement fuité, réutilisation intensive.

Notez que je n'utilise plus de gestionnaire de mdp âpres m’être retrouver sans celui ci à l’étrange. (pas simple de retrouver ses accès)
On apprend avec l’expérience, mais c'est parfois douloureux.

[strato35]

Comment procédez-vous pour choisir votre mot de passe ?

Vive les passphrases ! Et si ce n'est pas possible à cause de restrictions à la con (type 20 caractères maximum, si si il y en a) : gestionnaire de mot de passe privé.

Logiquement je devrais toujours utiliser le gestionnaire de mot de passe mais quand c'est pour un jeu par exemple et que j'ai la flemme d'ouvrir le gestionnaire à chaque fois que je lance le jeu bah une ptite passphrase simple à retenir mais difficile à trouver fait aussi bien l'affaire. Même si du coup je ne compte plus le nombre phrases ridicules qui traînent dans un coin de ma tête. Et pas d'utilisation du gestionnaire pour les comptes important type banque/mail (en cas d'infection par keylogger qui récupérerais le fichier de mot de passe en plus de ma saisie au clavier, oui je suis paranoïaque) , là c'est bien le genre de chose où je peux me forcer à retenir des trucs excessivement complexe.

Et sans oublier : authentification n facteurs dès que c'est possible.