Classement des mots de passe les plus utilisés : 123456 en tête suivi de 123456789 et qwerty
Quels sont selon vous les pires mots de passe à bannir ?

Le , par Olivier Famien, Chroniqueur Actualités
Keeper, le fournisseur de solutions de gestion des mots de passe pour les entreprises et les individus, vient de livrer son rapport concernant les mots de passe les plus utilisés de l’année 2016. Ce rapport a été établi sur la base d’environ 10 000 000 de mots de passe qui ont été rendus publics après les différentes violations de données survenues en 2016.

Dans ce rapport, le mot de passe 123456 occupe la première place avec 17 % d’utilisateurs faisant recours à ce dernier pour sécuriser leurs différents comptes. Ce n’est en effet pas une surprise de le voir tenir la tête de classement, car depuis 2014, SplachData l’éditeur d’applications de gestion de mots de passe l’avait classé en première place des pires mots de passe les plus utilisés. Il est suivi par le mot de passe 123456789 semblable au premier avec un simple un rallongement de la suite numérique. Dans le classement de SplachData en 2015, ce mot occupait la 6e place. Il a donc gagné 4 places. En troisième position sur le podium, l’on a le mot de passe qwerty qui occupait l’an dernier la 4e place. Il a donc gagné davantage en popularité en l’espace de 12 mois. Ci-dessous la liste complète du classement 2016 pour les 25 mots de passe les plus faciles à deviner avec une comparaison à celui délivré par SplachData en 2015.

  1. 123456 (2015 : 1re place)
  2. 123456789 (2015 : 9e place)
  3. qwerty (2015 : 4e place)
  4. 12345678 (2015 : 3e place)
  5. 111111 (2015 : 14e place)
  6. 1234567890 (12e place)
  7. 1234567 (2015 : 9ème place)
  8. password (2015 : 2ème place)
  9. 123123 (nouvel entrant)
  10. 987654321 (nouvel entrant)
  11. qwertyuiop (22e place)
  12. mynoob (nouvel entrant)
  13. 123321 (nouvel entrant)
  14. 666666 (nouvel entrant)
  15. 18atcskd2w (nouvel entrant)
  16. 7777777 (nouvel entrant)
  17. 1q2w3e4r (nouvel entrant)
  18. 654321 (nouvel entrant)
  19. 555555 (nouvel entrant)
  20. 3rjs1la7qe (nouvel entrant)
  21. google (nouvel entrant)
  22. 1q2w3e4r5t (nouvel entrant)
  23. 123qwe (nouvel entrant)
  24. zxcvbnm (nouvel entrant)
  25. 1q2w3e (nouvel entrant)


Comme on peut le constater, la majorité des mots de passe classés dans le top 10 sont utilisés depuis plusieurs années avec leur place variant au fil des années. En outre, plusieurs mots de passe dans cette liste ne sont pas longs (4 à 6 caractères). L’inconvénient avec ces mots de passe courts est que la puissance de calcul des terminaux d’aujourd’hui permettent de les cracker en quelques secondes. Par ailleurs, quand bien même ils seraient longs, l’on note qu’ils sont tellement courants qu’il est possible pour des pirates de les deviner aisément en utilisant des dictionnaires de mots de passe. Enfin, Keeper précise que certains mots de passe comme 3rjs1la7qe ou 18atcskd2w qui paraissent difficiles à pirater apparaissent dans cette liste, car les bots utilisent de manière répétitive ces mots de passe pour créer des comptes fictifs afin de lancer des attaques de phishing ou de spamming.

Pour protéger ses données contre les personnes non autorisées, il est généralement recommandé d’utiliser des mots de passe avec des caractères alphanumériques et comprenant des lettres en majuscule et en minuscule ainsi que des caractères spéciaux. Toutefois, un des freins à l’utilisation de ce type de mots de passe est la difficulté à retenir ces mots de passe complexe. Mais si l’on souhaite se prémunir de toute violation de données, il paraît nécessaire d’utiliser ce type de mots de passe. Et les administrateurs de sites web ou de systèmes devraient contribuer à adopter cela en alertant l’utilisateur lorsque son mot de passe est faible ou en lui proposant des mots de passe forts difficiles à cracker.

Source : Keeper

Et vous ?

Que pensez-vous de ce classement ?

Utilisez-vous un de ces mots de passe ? Allez-vous le changer pour un mot de passe plus sûr ?

Selon vous, quels sont les pires mots de passe à bannir à ne pas utiliser ?

Voir aussi

Classement des pires mots de passe de 2013 « 123456 » apparaît en première position, suivi de « password »
Classement des pires mots de passe de 2015 : « 123456 » et « password » conservent la première et seconde position

La Rubrique sécurité, Forum sécurité, Cours et turoriels sécurtité, FAQs Sécurtié


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Omote Omote - Membre averti https://www.developpez.com
le 16/01/2017 à 19:38
Une bonne façon selon moi d'avoir des mots de passe différents pour chaque site est un phrase clé et une règle sur l'URL du site (en espérant qu'il ne change pas sinon on change le mot de passe).

Exemple:

Phrase clé = "LeJourDeMai68!"
Règle = 3 premières lettres du nom du site.
URL:http://www.developpez.net/ = "dev"
Mot de passe = "LeJourDeMai68!dev"
Avatar de RyzenOC RyzenOC - Membre expert https://www.developpez.com
le 16/01/2017 à 19:48
Dans ma boite on utilise des Smart cards PKI (qu'ils faut ré-initialiser 1 fois par mois) on as plus besoin de mot de passe.
Et sa s’intègre dans les navigateur web/page web, c'est pas réservé qu'a de l'applicatif installé sur la machine.

Je trouve cette solution parfaite, dans le sens ou j'aurais pas besoin de changer mes yeux/doigts si sa se fait hacker, mais j'ai pas à retenir de password de 16 caractere comme avant.
Et le hacker doit avoir ma carte pour pénétrer dans le système.
Avatar de _skip _skip - Expert éminent https://www.developpez.com
le 16/01/2017 à 19:56
En fait je pense qu'on a longtemps encouragé les gens à complexifier les mots de passes en y ajoutant de la longueur puis tour à tour des chiffres, des majuscules et autres en se concentrant sur les attaques brute force idiotes et on a complètement oublié de considérer la probabilité statistique. En tant qu'attaquant, vous avez le choix entre tester toutes les possibilités au bol comme un con ce qui vous prend des jours, des mois ou des siècles, ou alors essayer des combinaisons que l'on sait fréquentes d'utilisation. Genre [username] / [username]123 ou [nomduservice]1234, admin / password et j'en passe.

Les gens ont besoin de pouvoir mémoriser leur dizaine de passwords, ça sert à rien de leur imposer des règles de complexité car ça ne les conduit qu'à suivre des patterns simples ou alors les noter sur des post-it. Le seul remède que j'ai trouvé personnellement c'est d'utiliser un portefeuille de MP comme Keepass avec une passphrase "master" qu'il mémorise, puis sinon des passwords générés par machine pour chaque service.

En tout cas ça fonctionne chez moi, c'est le seul moyen pour ma cervelle de moineau de mémoriser les quelques 120 mots de passe privés et professionnels dont je me sers sans les noter en clair dans un fichier.
Avatar de NSKis NSKis - En attente de confirmation mail https://www.developpez.com
le 16/01/2017 à 23:38
Mais qu'est-ce-que c'est que ces théories à la con du style "C'est difficile à mémoriser des mots-de-passe trop long, trop compliqué"???

Est-ce que quelqu'un a entendu parler des "password manager"??? Il y en a des milliers de logiciels de ce type disponibles gratuitement pour toutes les plateformes imaginables!!!

1. Tu te fais des passwords compliqués

2. Tu les enregistres dans un "password manager" qui stocke les passwords de manière cryptées

3. Quand tu as besoin de ton password, tu lances ton "password manager", un "copier-coller" de ton password et l'affaire est jouée!!!
Avatar de joublie joublie - Membre actif https://www.developpez.com
le 17/01/2017 à 1:23
Si l'on pense aux attaques par dictionnaires alors il n'y a pas à chercher les pires mots de passe : il faudrait plutôt en citer quelques centaines de milliers, tous vulnérables... En revanche, dans un cadre amateur, typiquement de l'espionnage " à la main " entre conjoints, une liste courte a du sens (et peut donner des idées !).
Avatar de Tagashy Tagashy - Membre actif https://www.developpez.com
le 17/01/2017 à 8:54
[EDIT]petite question que je me pose comment ils ont eu les donnée pour faire leur statistique?
je vois deux possibilité:
1) un sondage (mais faut être sacrement con pour filer son password comme ça ... enfin vu le niveau de la bêtise humaine ces dernier temps, ça ne m'étonnerais pas plus que ça)
2) il disent être une société de gestionnaire de mot de passe ... stockage réversible des password ??? (ou pire backdoor dans le code source ... enfin ni l'une ni l'autre est bien ...)

cependant vu qu'ils parlent des mots de passe de bot et que ces dernier ne répondrais pas au sondage et n'utilise pas de gestionnaire de mot de passe, j'ai peur qu'il s'agisse de stockage réversible de mots de passe (autant dire que je ne fais pas confiance a cette entreprise)
[/EDIT]
effectivement j'ai lue à la va vite le début au temps pour moi et merci de m'avoir montrer mon erreur @Pr3Nom

perso j'utilise toujours du random pour mes mots de passe mais j'en utilise que deux (un pour la boîte mail et un autre pour tous les autres site, je compte pas le mots de passe du taf qui lui est imposer par mon taf et change tout les 3 mois)
et la première chose que je fais lorsque je change de mot de passe est de désactiver toute les remplissage automatique du mot de passe jusqu'as ce que je l'ai appris par cœur, ça prend moins d'une semaine et ça stimule la mémoire (au niveau mnémotechnique ça fait un enchaînement de 6-7 petite séquence de 2-3 caractère )
Avatar de bclinton bclinton - Membre habitué https://www.developpez.com
le 17/01/2017 à 9:15
J'imagine qu'ils font leur stat en utilisant un dictionnaire et un bruteforce sur les pwd cryptés.

Et ils sortent le palmarès des pwd crackés.
Avatar de Pr3Nom Pr3Nom - Nouveau Candidat au Club https://www.developpez.com
le 17/01/2017 à 9:18
Citation Envoyé par Tagashy Voir le message
petite question que je me pose comment ils ont eu les donnée pour faire leur statistique?
je vois deux possibilité:
1) un sondage (mais faut être sacrement con pour filer son password comme ça ... enfin vu le niveau de la bêtise humaine ces dernier temps, ça ne m'étonnerais pas plus que ça)
2) il disent être une société de gestionnaire de mot de passe ... stockage réversible des password ??? (ou pire backdoor dans le code source ... enfin ni l'une ni l'autre est bien ...)

cependant vu qu'ils parlent des mots de passe de bot et que ces dernier ne répondrais pas au sondage et n'utilise pas de gestionnaire de mot de passe, j'ai peur qu'il s'agisse de stockage réversible de mots de passe (autant dire que je ne fais pas confiance a cette entreprise)
Deuxième phrase de l'article :

Ce rapport a été établi sur la base d’environ 10 000 000 de mots de passe qui ont été rendus publics après les différentes violations de données survenues en 2016.
Relis l'article avant de crier au loup.
Avatar de satenske satenske - Membre confirmé https://www.developpez.com
le 17/01/2017 à 10:43
Je pense qu'il est temps de ressortir ce bon vieux xkcd

Avatar de Franck.H Franck.H - Rédacteur https://www.developpez.com
le 17/01/2017 à 11:50
Citation Envoyé par Invité Voir le message
Le changement de MdP peut être très chronophage.

Quand je bossais chez Cisco, on devait changer le bazar tous les 45 jours et croyez-moi, c'était vraiment galère parce qu'il y avait un check de dictionnaire qui se faisait dans plus de 90 langues/dialectes. Sans compter qu'il fallait inclure des majuscules, chiffres et ponctuation

Puis, l'expérience aidant, voilà comment je procède pour les MdP... Je vous donne quelques exemples et vous aurez vite compris

Ma meuf, elle porte du 90B :-P

!MmEpd90B:-P

Tiens, je suis à découvert de 200€ :-(

?TjSaDd200€:-(

L'anniversaire de mon fils, c'est le 5 mars 1992 :-)

*LadMfCl5031992:-)

Mes 4 chats s'appellent Becky, Venus, Chipie et Cookie

:!M4CsBVCC

Le stock Cisco est tombé à 20$ :-(

LsCSCO20$:-(

J'ai pas passé ces MdP au password checker, mais je sais d'avance qu'ils sont strongs

Steph
C'est ma méthode de création de password
Avatar de Franck.H Franck.H - Rédacteur https://www.developpez.com
le 17/01/2017 à 11:55
Citation Envoyé par bodking01 Voir le message
Sinon, on peut mettre "incorrect" comme mot de passe comme ça si on oublie, on tape n'importe quoi et il dis "le mot de passe est incorrect"
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 17/01/2017 à 12:31
je comprends pas cette liste de mot de pass.

je m'attendait a avoir que des mot de passe facile a déduire, car facile a obtenir par paresse.

le qwertyuiop est logique, le 123456789 aussi par contre les pass :

- 18atcskd2w
- 1q2w3e4r
- 3rjs1la7qe

vous pouvez me dire d'ou viennent ces mot de passe ? il sont lié à quel type de clavier, ou référence a une culture geek ?

Merci.
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 17/01/2017 à 12:35
moi je me suis fait un soft qui me génère 1 mot de passe encodé selon le nom de domaine et le passkey de la bank de mot de pass que j'ai mit.

je fait cela uniquement pour les sites importants qui nécessite un mot de pass costaud, nécessitant des pass alpha numerique avec casse et char spéciaux.

un acces forum, ou il n'y a rien de spécial a protéger comme ici, j'ai un mot de passe banal.
Avatar de Gregoriz Gregoriz - Nouveau membre du Club https://www.developpez.com
le 17/01/2017 à 14:57
Citation Envoyé par Aiekick Voir le message
- 1q2w3e4r

C'est le password ayant pour règle de prendre l'index de chaque lettre du pwd 'qwerty' et de le mettre devant chaque lettre:
qwer
1234

Fusionné en 1q2w3e4r

Par contre je suis d'accord que les autres j'ai pas trouvé encore. J'me demande de quel clavier il peut sagir.
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 17/01/2017 à 18:26
Ah, c'est pas en France que quelqu'un utiliserait qwerty comme mot de passe !

Avatar de Tagashy Tagashy - Membre actif https://www.developpez.com
le 18/01/2017 à 8:36
@Aiekick
pour les autres mot de passe que 1q2w3e4r (sur mon qwertz (clavier allemand) tu fais juste haut bas haut bas ... en azerty ça donnerais 1a2z3e4r5t ...) c'est écrit dans l'article (toi aussi tu fais comme moi et lis pas tout ) il s'agit de mot de passe de bot de spam et phishing
Avatar de disedorgue disedorgue - Expert éminent https://www.developpez.com
le 18/01/2017 à 13:36
Pour moi, le fait d'imposer des contraintes autres que orale sur le choix de son mot de passe est une erreur car cela réduit d'autant la plage de recherche du dit mot de passe.

Et je m'attendais à trouver un mot de passe qu'il m'arrive de temps à autre d'utilisé (très temporairement bien sur) : 1472583690 (voir pavé numérique pour comprendre)
Offres d'emploi IT
Bras droit du CEO Getpro (H/F)
Getpro - Ile de France - Paris - 4ème arrondissement
Concepteur- développeur H/F
IT-CE - Ile de France - Paris (75000)
Concepteur/Développeur Nouvelles Technologies (H/F)
Atos Intégration - Ile de France - France

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil