Classement des pires MdP 2017 : « 123456 » en tête et « starwars » refait surface
Que conseillez-vous pour adopter des MdP difficiles à pirater ?
Le 2017-12-25 17:04:10, par Olivier Famien, Chroniqueur Actualités
En 2003, le National Institute of Standards and Technology (NIST) a mandaté Bill Burr, un ingénieur de l’institut afin de concevoir un guide de bonnes pratiques pour l’adoption des mots de passe (MdP) difficiles à pirater. Après avoir travaillé sur la question, l’ingénieur a sorti un guide de huit pages baptisé « ;NIST Special Publication 800-63. Appendix A ;» qui conseille aux utilisateurs d’utiliser une série combinée de chiffres, lettres majuscules et minuscules et de caractères spéciaux pour élaborer des mots de passe forts. Et pour renforcer la sécurité de ces mots de passe, Bill Burr a suggéré de changer les mots de passe régulièrement.
Mais après plusieurs années d’observations, Burr est revenu en aout dernier pour expliquer que ces recommandations étaient trop difficiles à appliquer. C’est pourquoi le NIST a entrepris de nouveaux travaux à l’issue desquels il recommande désormais de ne plus s’embarrasser de mots de passe complexes difficiles à retenir, mais plutôt de composer des mots de passe avec des phrases longues et faciles à retenir, mais difficiles à pirater.
Plusieurs mois s’étant écoulés après cette recommandation, force est de constater que cette recommandation n’a nullement été suivie par certains utilisateurs. Et même pire, des mots de passe dénoncés comme peu sûrs et recommandés par de nombreuses organisations comme devant être évités continuent toujours d'être utilisés par de nombreuses personnes. SplashData qui est une entreprise investie dans la sécurisation des mots de passe a édité une liste des pires mots de passe de l’année 2017 en se basant sur 5 millions de mots de passe qui ont fuité cette année à la faveur des différents piratages qui sont survenus.
À travers les données analysées, SplashData fait remarquer que « ;123456 ;» qui trône en première place depuis plusieurs années est encore en tête de liste dans ce nouveau classement. Pour les cinq autres mots de passe qui suivent, le classement de cette année est identique à celui de 2015 sorti par la même entreprise. « ;password ;», « ;12345678 ;», « ;qwerty ;», « ;12345 ;», « ;123456789 ;» occupent respectivement la seconde, troisième, quatrième, cinquième et sixième place.
Pour les 25 premiers mots de passe faciles à pirater, et donc qui doivent être évités, SplashData donne la liste suivante :
Comme on peut le constater, certains mots de passe comme « ;qwerty ;» à la quatrième place, « ;admin ;», à la onzième place et « ;login ;» à la quatorzième place sont toujours utilisés par de nombreux utilisateurs en dépit des alertes données par les acteurs de la sécurité. D’autres par contre ont refait surface dans le top 100 comme « ;satrwars ;» qui avait été classé vingt-cinquième en 2015. Pour Morgan Slain, PDG de SplashData, « ;alors que le nouvel épisode peut être un ajout fantastique à la franchise Star Wars, “starwars” est un mot de passe dangereux à utiliser ;». Il explique que « ;les pirates utilisent des termes courants de la culture pop et du sport pour accéder aux comptes en ligne parce qu’ils savent que beaucoup de gens utilisent ces mots faciles à mémoriser. ;»
En outre, ils « ;connaissent vos astuces, et le simple fait de peaufiner un mot de passe facile à deviner ne le rend pas sûr ;», a ajouté Slain. « ;Nous espérons que notre liste des mots de passe les plus mauvais de l’année incitera les gens à prendre des mesures pour se protéger en ligne ;», conclut-il dans le rapport.
Source : SplashData, Rapport du top 100 des mots de passe à éviter (PDF)
Et vous ?
Quel est votre avis sur ce rapport ;?
Reconnaissez-vous dans ce rapport certains mots de passe que vous utilisez au quotidien ;? Lesquels ;?
Quelles solutions préconisez-vous pour éviter de composer des mots de passe faciles à pirater ;?
Voir aussi
L’ingénieur du NIST qui a recommandé l’adoption des MdP difficiles à retenir regrette ce conseil, le NIST préconise les MdP longs et faciles à retenir
Classement des mots de passe les plus utilisés : 123456 en tête suivi de 123456789 et qwerty, quels sont selon vous les pires mots de passe à bannir ;?
Classement des pires mots de passe de 2015 : « ;123456 ;» et « ;password ;» conservent la première et seconde position
Mais après plusieurs années d’observations, Burr est revenu en aout dernier pour expliquer que ces recommandations étaient trop difficiles à appliquer. C’est pourquoi le NIST a entrepris de nouveaux travaux à l’issue desquels il recommande désormais de ne plus s’embarrasser de mots de passe complexes difficiles à retenir, mais plutôt de composer des mots de passe avec des phrases longues et faciles à retenir, mais difficiles à pirater.
Plusieurs mois s’étant écoulés après cette recommandation, force est de constater que cette recommandation n’a nullement été suivie par certains utilisateurs. Et même pire, des mots de passe dénoncés comme peu sûrs et recommandés par de nombreuses organisations comme devant être évités continuent toujours d'être utilisés par de nombreuses personnes. SplashData qui est une entreprise investie dans la sécurisation des mots de passe a édité une liste des pires mots de passe de l’année 2017 en se basant sur 5 millions de mots de passe qui ont fuité cette année à la faveur des différents piratages qui sont survenus.
À travers les données analysées, SplashData fait remarquer que « ;123456 ;» qui trône en première place depuis plusieurs années est encore en tête de liste dans ce nouveau classement. Pour les cinq autres mots de passe qui suivent, le classement de cette année est identique à celui de 2015 sorti par la même entreprise. « ;password ;», « ;12345678 ;», « ;qwerty ;», « ;12345 ;», « ;123456789 ;» occupent respectivement la seconde, troisième, quatrième, cinquième et sixième place.
Pour les 25 premiers mots de passe faciles à pirater, et donc qui doivent être évités, SplashData donne la liste suivante :
- « ;123456 ;»
- « ;password ;»
- « ;12345678 ;»
- « ;qwerty ;»
- « ;12345 ;»
- « ;123456789 ;»
- « ;letmein ;»
- « ;1234567 ;»
- « ;football ;»
- « ;iloveyou ;»
- « ;admin ;»
- « ;welcome ;»
- « ;monkey ;»
- « ;login ;»
- « ;abc123 ;»
- « ;starwars ;»
- « ;123123 ;»
- « ;dragon ;»
- « ;passw0rd ;»
- « ;master ;»
- « ;hello ;»
- « ;freedom ;»
- « ;whatever ;»
- « ;qazwsx ;»
- « ;trustno1 ;»
Comme on peut le constater, certains mots de passe comme « ;qwerty ;» à la quatrième place, « ;admin ;», à la onzième place et « ;login ;» à la quatorzième place sont toujours utilisés par de nombreux utilisateurs en dépit des alertes données par les acteurs de la sécurité. D’autres par contre ont refait surface dans le top 100 comme « ;satrwars ;» qui avait été classé vingt-cinquième en 2015. Pour Morgan Slain, PDG de SplashData, « ;alors que le nouvel épisode peut être un ajout fantastique à la franchise Star Wars, “starwars” est un mot de passe dangereux à utiliser ;». Il explique que « ;les pirates utilisent des termes courants de la culture pop et du sport pour accéder aux comptes en ligne parce qu’ils savent que beaucoup de gens utilisent ces mots faciles à mémoriser. ;»
En outre, ils « ;connaissent vos astuces, et le simple fait de peaufiner un mot de passe facile à deviner ne le rend pas sûr ;», a ajouté Slain. « ;Nous espérons que notre liste des mots de passe les plus mauvais de l’année incitera les gens à prendre des mesures pour se protéger en ligne ;», conclut-il dans le rapport.
Source : SplashData, Rapport du top 100 des mots de passe à éviter (PDF)
Et vous ?
Voir aussi
-
ItachiaurionMembre confirméQu'est ce qui se passe si tu oublie le mdp de ton gestionnaire? La même chose que si tu oublie un mot de passe non récupérable. Tu oublie ton mot de passe root linux ou ton mot de passe pour Windows? J’espère que tu as un outil de récup. C'est une fausse question/accusation, en plus de 3 ans d'utilisation je dois bien utiliser ce mot de passe pour gestionnaire au moins une fois par jour, va oublié un mot de passe avec ça. Après tu peux te permettre de faire toi même le mot de passe pour tes adresses mail de récupération. Dans le cas peu probable ou tu perd le mot de passe du gestionnaire tu peux toujours tout réinitialisé.
Pourquoi utiliser un service en ligne quand tu as keepass2 qui est gratuit et Opensource en plus de ne pas être en ligne? Tu ne confie pas tes mot de passes a quelqu'un si ce n'est a toi même avec ce logiciel. Faut arrêter d'être aussi borner en sécurité, surtout quand on a un outils aussi pratique a disposition.
Sérieusement il est difficile de penser que l'on peut humainement respecter le fait d'avoir un mot de passe réellement différent par site ou application utilisé. Tu y arrive peut être, mais moi j'ai besoins d'un gestionnaire pour mes plus de 40 mot de passes. Alors si en plus on ajoute le changement régulier de mot de passe, je ne vois pas comment on peut faire, il faut être pragmatique.le 26/12/2017 à 11:37 -
jackkMembre éclairéComme quoi on n'est pas si bêtes que ça en France, AZERTY ne figure pas dans la top list ;-)le 25/12/2017 à 17:38
-
zaventemMembre expérimentéLe jour où on ne sera plus obligé de créer des comptes pour tout et n'importe quoi, cela changera peut-être aussi les choses.
Je ne compte plus le nombre de compte que j'ai créé avec un email jetable et un mot de passe bidon pour juste pouvoir acheter sur un site ou même connaitre les frais de livraison.le 18/12/2018 à 9:40 -
Lcf.vsMembre éclairéComme je l'ai déjà dit plein de fois, sur ce forum : Retenir une phrase, si possible, multilingue.
Plus facile à retenir qu'un mdp complexe et, généralement, on y a des espaces et de la ponctuation, accents, etc.le 25/12/2017 à 19:08 -
Puis n'importe-qui qui regarde tes habitudes d'achat ou qui connaît ta marque de PC peut assez facilement avoir de bonnes indications sur des possibilités de mot de passe que tu pourrais avoir ! (A noter que ce genre de pass sont assez communs, aussi).le 31/12/2017 à 13:56
-
el_slapperExpert éminent sénior
sinon, ce qui est marrant, c'est que 1234567 vient après 12345678. Sans doute à cause des sites qui demandent 8 chiffres, mais quand même.le 17/12/2018 à 10:12 -
GlutinusInactifQuand je fus gamin, mon mot de passe était "motdepasse", et j'étais persuadé d'être le seul au monde à l'avoir faitle 17/12/2018 à 10:23
-
GlutinusInactifIl y a sûrement beaucoup plus d'anglophones que de francophones recensés dans ce "top" (voir : monkey, princess, iloveyou...)le 17/12/2018 à 13:44
-
Lcf.vsMembre éclairéle 26/12/2017 à 3:28
-
NamicaMembre expérimentéLe problème n'est pas tant de créer un bon mot de passe, en utilisant par exemple une phrase,
que d'en créer un certain nombre, de les changer régulièrement et de les retenir.
Combien de mots de passe différents utilisez-vous ?
Au delà de quelques uns impossible de se passer d'un gestionnaire de mot de passe.le 26/12/2017 à 10:43