Quels sont les 25 plus mauvais mots de passe sur Internet ?
Y'a du lourd
Pour utiliser le compte d’un tiers, il n’est pas toujours nécessaire d’être un grand pirate digne d’une série où l’on tapote à vitesse grand V uniquement avec ses index. Il faut dire que les mots de passe de certains internautes sont d’une simplicité telle que cela en est inquiétant. SplashData a...Pour utiliser le compte d’un tiers, il n’est pas toujours nécessaire d’être un grand pirate digne d’une série où l’on tapote à vitesse grand V uniquement avec ses index. Il faut dire que les mots de passe de certains internautes sont d’une simplicité telle que cela en est inquiétant. SplashData a d’ailleurs publié via Mashable le top 25 des pires mots de passe référencés :
Dans le top 25 des mots de passe les plus utilisés à l’époque, nous retrouvions notamment « password », « 123456 », « michael », « sunshine », « abc123 », « ashley », « bailey » et « shadow ». Si quelqu’un veut pirater un compte, il sait déjà par où commencer…
- password
- 123456
- 12345678
- qwerty
- abc123
- monkey
- 1234567
- letmein
- trustno1
- dragon
- baseball
- 111111
- iloveyou
- master
- sunshine
- ashley
- bailey
- passw0rd
- shadow
- 123123
- 654321
- superman
- qazwsx
- michael
- football
Les internautes vont trop vers la simplicité
On se rappellera qu’en juin dernier, peu après les attaques subies par Sony, une étude avait montré que les internautes se contentaient de mots de passe assez courts (entre 6 et 8 caractères) et que plus de la moitié n’avait qu’un seul type de caractères, que des chiffres ou que des lettres en somme. Et 96 % d’entre eux n’avaient que deux types de caractères différents.
Malheureusement, les gens n'utilisent qu'un ou deux types de caractères dans leurs mots de passe
Dans le top 25 des mots de passe les plus utilisés à l’époque, nous retrouvions notamment « password », « 123456 », « michael », « sunshine », « abc123 », « ashley », « bailey » et « shadow ». Si quelqu’un veut pirater un compte, il sait déjà par où commencer…
Quelques conseils
Pour rappel, voici ce que l’on recommande lors de la création d’un mot de passe :- inclure des chiffres, des lettres, minuscules et majuscules, et si possible un autre type de caractère (PCin_PacT$4823 par exemple)
- évitez un mot de passe trop court : au moins une dizaine de caractères.
- éviter les suites logiques (123456, abcdef) ou un nom ou un prénom (encore moins un nom ou un prénom connus)
- évitez les mots entiers et préférez les mots inventés par vous-même
- évitez d’utiliser votre propre nom, celui de votre société, etc.
- évitez d’utiliser le même mot de passe pour tous vos comptes
Nil Sanyas
Journaliste, éditorialiste, créateur des LIDD, aime les interviews insolites et les tablettes tactiles. Présent sur Twitter et Google+.
Le 21 novembre 2011 à 16:07
(35 612
lectures)
Soutenez l'indépendance de PC INpact en devenant Premium
- Tout le contenu de PC INpact sans pub
- Et bien plus encore...
Il y a 127 commentaires
INpactien
youri_1er
Le lundi 21 novembre 2011 à 17:03:41
#51
Inscrit
le jeudi 8 septembre 05
-
14427
commentaires
le soucis c'est la multiplication des MDP.
Je veu bien me trouver 2 ou 3 MDP pour des sites, mais franchement avoir unMDP par site complexe, avec des caractères respectant bien les besoins de chaques sites (une majuscule au début, pas d'espace, pas de caratére spéciaux et plus de 8 caratéres pour l'un et moins de 12 caractéres pour l'autre tout type inclus sauf espace ... et ainsi de suite)
Après ben tu fout des MDP sur des post-it pour chaque site (pire tu les écris dans un fichier texte en clair) et la sécurité de tes MDP est cassé en 156 seconde!
Le tout pour quoi? empêcher quelqu'un de voir notre adresse mail ou de jouer avec notre pseudo sur un site ... franchement ça vaut pas le coup de s'emmerder!
Je veu bien me trouver 2 ou 3 MDP pour des sites, mais franchement avoir unMDP par site complexe, avec des caractères respectant bien les besoins de chaques sites (une majuscule au début, pas d'espace, pas de caratére spéciaux et plus de 8 caratéres pour l'un et moins de 12 caractéres pour l'autre tout type inclus sauf espace ... et ainsi de suite)
Après ben tu fout des MDP sur des post-it pour chaque site (pire tu les écris dans un fichier texte en clair) et la sécurité de tes MDP est cassé en 156 seconde!
Le tout pour quoi? empêcher quelqu'un de voir notre adresse mail ou de jouer avec notre pseudo sur un site ... franchement ça vaut pas le coup de s'emmerder!
INpactien
même pas de foo ou de bar 
Sinon je recommande les mots de passe avec des caractères qu'on ne peut pas faire au clavier : Ç É æ ƒ ... (je vais faire tous les ALT + XXXX non plus
)
Sinon je recommande les mots de passe avec des caractères qu'on ne peut pas faire au clavier : Ç É æ ƒ ... (je vais faire tous les ALT + XXXX non plus
)Et comme ça, quand t'arrives sur un mac, tu peux plus le taper. De plus, faut rester dans l'encodage...
INpactien
Honnêtement, ça n'apporte pas grand chose d'utiliser des caractères spéciaux ou des différences de casses.
Alors je suis pas expert en sécurité ni statisticien mais des vagues souvenirs que j'ai nous avons, pour chaque caractère :
_numérique : une chance sur 10
_alphabétique : une chance sur 26
_alphabétique avec casse : une chance sur 52
_alphanumérique avec casse et caractères spéciaux : une chance sur 93
Le tout à la puissance du nombre de caractères (dans les deux cas). J'ai du mal a voir comment ça peut "ne pas apporter grand chose" en terme de sécurité....
Après reste les problèmes de comment est codé le bruteforce, mais bon... Et pour le problème des utilisateurs qui oublient leur mot de passe je dirai que ça sort de l'usage des bonnes pratiques et entre dans la catégorie "bon sens".
Et au passage "PCin_PacT$4823" a quand même nettement moins de chance de se retrouver dans un dictionnaire que "lespoulesaurontdesdents"....
INpactien
All_INpact
Le lundi 21 novembre 2011 à 17:15:14
#54
Inscrit
le lundi 20 novembre 06
-
1119
commentaires
le leet fait partie intégrante des dictionnaires de bruteforce.
tant que les sites demanderont des mdp en http et non https, que les fichiers password.txt des user seront sur les sites en lignes, l'utilisateur pourra faire ce qu'il veut, il se fera avoir.
Il n'y pas qu'un pb d'interface ecran/clavier, il y a aussi des admins vraiment mauvais (et qui font la joie des hackers qui tombent sur ça et enrichissent leurs bd de mdp)
tant que les sites demanderont des mdp en http et non https, que les fichiers password.txt des user seront sur les sites en lignes, l'utilisateur pourra faire ce qu'il veut, il se fera avoir.
Il n'y pas qu'un pb d'interface ecran/clavier, il y a aussi des admins vraiment mauvais (et qui font la joie des hackers qui tombent sur ça et enrichissent leurs bd de mdp)
INpactienne
alors que :
L@T3teD@nSl35Ch0ux
c'est la misère à retenir
L@T3teD@nSl35Ch0ux
c'est la misère à retenir
sauf si tu parles le 1337 simplifié
PS : J'aime bien les pass de MaxObélix, sauf que c'est facile à deviner : ça te donne faim, donc tu en achètes, donc ça laisse un indice
INpactien
maestro321
Le lundi 21 novembre 2011 à 17:17:17
#56
Inscrit
le vendredi 9 avril 10
-
1287
commentaires
Le tout à la puissance du nombre de caractères (dans les deux cas). J'ai du mal a voir comment ça peut "ne pas apporter grand chose" en terme de sécurité....
Statistiquement, c'est plus valable d'ajouter un caractère que de changer la case d'une lettre (ce qui est un bout d'explication probable)
Et au passage "PCin_PacT$4823" a quand même nettement moins de chance de se retrouver dans un dictionnaire que "lespoulesaurontdesdents"....
Ca dépend complètement de la technique d'attaque utilisée, par brutforce sans dictionnaire c'est PCin_PacT$4823 qui va tomber en premier, et avec dictionnaire, il faudrais qu'il contienne exactement "lespoulesaurontdesdents", ce qui est très peu probable.
INpactien
le soucis c'est la multiplication des MDP.
Je veu bien me trouver 2 ou 3 MDP pour des sites, mais franchement avoir unMDP par site complexe, avec des caractères respectant bien les besoins de chaques sites (une majuscule au début, pas d'espace, pas de caratére spéciaux et plus de 8 caratéres pour l'un et moins de 12 caractéres pour l'autre tout type inclus sauf espace ... et ainsi de suite)
Après ben tu fout des MDP sur des post-it pour chaque site (pire tu les écris dans un fichier texte en clair) et la sécurité de tes MDP est cassé en 156 seconde!
Le tout pour quoi? empêcher quelqu'un de voir notre adresse mail ou de jouer avec notre pseudo sur un site ... franchement ça vaut pas le coup de s'emmerder!
Je veu bien me trouver 2 ou 3 MDP pour des sites, mais franchement avoir unMDP par site complexe, avec des caractères respectant bien les besoins de chaques sites (une majuscule au début, pas d'espace, pas de caratére spéciaux et plus de 8 caratéres pour l'un et moins de 12 caractéres pour l'autre tout type inclus sauf espace ... et ainsi de suite)
Après ben tu fout des MDP sur des post-it pour chaque site (pire tu les écris dans un fichier texte en clair) et la sécurité de tes MDP est cassé en 156 seconde!
Le tout pour quoi? empêcher quelqu'un de voir notre adresse mail ou de jouer avec notre pseudo sur un site ... franchement ça vaut pas le coup de s'emmerder!
Pour retenir un paquet de MDP bien costaud, faut soit avoir une mémoire d'éléphant, soit avoir KeePass, mais là encore, vaut mieux bien retenir LE mdp costaud pour rentrer, sinon...
INpactien
youri_1er
Le lundi 21 novembre 2011 à 17:26:15
#58
Inscrit
le jeudi 8 septembre 05
-
14427
commentaires
Pour retenir un paquet de MDP bien costaud, faut soit avoir une mémoire d'éléphant, soit avoir KeePass, mais là encore, vaut mieux bien retenir LE mdp costaud pour rentrer, sinon...
Le truc c'est que je préfères 5 mots de passe "simples" pour les usages sans risque et un bien complexe que j'utilise pour les risque plus grand, qu'un seul bien complexe qui, une fois casser donnera accès à tous ses MDP et site en relation!
INpactien
C'est pas vraiment les mots de passe le problème, c'est plutôt les admins/développeurs qui ne bloquent pas le compte/bannissent l'IP après 2-3 essais.
Si c'était le cas, même avec un mot de passe facile, il serait difficile à trouver.
Pour ma part, j'ai plusieurs mots de passe plus ou moins complexe en fonction de la confiance que j'ai pour le site sur lequel je m'inscris.
Si c'est un compte pour un site douteux et dont j'ai besoin rarement, je vais utiliser un mot de passe bidon de telle sorte que si je me fais voler mon compte, je ne risque rien par la suite.
Si c'était le cas, même avec un mot de passe facile, il serait difficile à trouver.
Pour ma part, j'ai plusieurs mots de passe plus ou moins complexe en fonction de la confiance que j'ai pour le site sur lequel je m'inscris.
Si c'est un compte pour un site douteux et dont j'ai besoin rarement, je vais utiliser un mot de passe bidon de telle sorte que si je me fais voler mon compte, je ne risque rien par la suite.
INpactien
Consultant
Le lundi 21 novembre 2011 à 17:28:33
#60
Inscrit
le mardi 13 juin 06
-
18158
commentaires
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Libération annonce l'arrivée de son nouveau site
(18)
Le paywall dans la foulée -
Facebook dévoilera sa nouvelle « grande idée » le 20 juin
(23)
On espère que ce sera mieux que Home -
SVOD : Jook Video pour 3 € pendant 3 mois sur Vente Privée
(9)
De la VoD illimitée pour pas cher... -
Tout est vrai (ou presque) : la vie de Kim Dotcom en trois minutes
(15)
Impossible de faire moins
Comment profiter du nouveau Google Maps sans invitation
Les chats gouvernent Internet, cela passe donc par les cookies
434ème édition des LIDD : Liens Idiots Du Dimanche
Java, Batman, Hobbit et GoT au menu, et aussi un ours
-
Des GeForce GTX 770 à partir de 335,51 €
Valable jusqu'au 23 juin -
99,90 € pour un disque dur Toshiba de 3 To en S-ATA 6 Gb/s
Valable jusqu'au 20 juin -
Une GeForce GTX 680 avec le jeu Metro Last Light pour 299,90 €
Valable jusqu'au 21 juin -
Un iPad 2 blanc de 16 Go pour 349 €
Valable jusqu'au 23 juin
