Sécurité : une étude révèle que 55 % d'internautes utilisent le même mot de passe
Pour tous les sites Web qu'ils consultent
Le 2013-04-25 13:22:17, par Cedric Chevalier, Expert éminent sénior
Quelles que soient les solutions de sécurité mises en place comme les pare-feu, IPS, antivirus ou politique de sécurité d’entreprise, le maillon faible de la chaine de sécurité d’une entreprise restera toujours l'utilisateur de son réseau.
Une récente étude, sur une population d’individus âgés de 16 ans et plus, vient d’être menée au Royaume-Uni par Ofcom. Plus de 55 % des sujets de l’étude utilisent le même mot de passe pour la plupart des sites web qu’ils consultent.
Pire encore, les mots de passe sont extrêmement vulnérables aux attaques par dictionnaire. En effet, ces mots de passe utilisateurs sont soit des dates de naissance soit des noms courants. 26 % des sujets de l'étude ont évoqué la difficulté qu’il y a à retenir des mots de passe différents pour chaque site web consulté.
Néanmoins, on note une petite avancée sur l’adoption des autres mesures de sécurité basiques. 62 % des sujets affirment protéger leur point d’accès Wi-Fi, tandis que 61 % prennent la précaution de vérifier le petit cadenas (symbole de HTTPS) ou de lire les messages de sécurité du système avant une introduction quelconque de leurs informations confidentielles.
Source : Ofcom
Et vous ?
Avez-vous recours au même mot de passe pour l’ensemble des sites que vous consultez ?
Sinon, comment procédez-vous pour retenir plusieurs mots de passe forts différents pour chaque site que vous consultez ?
Une récente étude, sur une population d’individus âgés de 16 ans et plus, vient d’être menée au Royaume-Uni par Ofcom. Plus de 55 % des sujets de l’étude utilisent le même mot de passe pour la plupart des sites web qu’ils consultent.
Pire encore, les mots de passe sont extrêmement vulnérables aux attaques par dictionnaire. En effet, ces mots de passe utilisateurs sont soit des dates de naissance soit des noms courants. 26 % des sujets de l'étude ont évoqué la difficulté qu’il y a à retenir des mots de passe différents pour chaque site web consulté.
Néanmoins, on note une petite avancée sur l’adoption des autres mesures de sécurité basiques. 62 % des sujets affirment protéger leur point d’accès Wi-Fi, tandis que 61 % prennent la précaution de vérifier le petit cadenas (symbole de HTTPS) ou de lire les messages de sécurité du système avant une introduction quelconque de leurs informations confidentielles.
Source : Ofcom
Et vous ?
-
Ky-GfMembre à l'essaiAvez-vous recours au même mot de passe pour l’ensemble des sites que vous consultez ?
Exemple : votre pattern pourrait être abcdXXcdbaYY
où abcd et cdba sont fixe, donc à retenir par coeur avec ici 2 'clés' à modifier en fonction du site sur lequel vous avez le mot de passe. Pour Gmail on pourrait imaginer XX = g et YY = mail
Bref il est possible d'être imaginatif et de ne retenir qu'un seul et même pattern que l'on pourra adapter en fonction du site. Même si les clés peuvent parraitres évidentes (mail,gmail ...) tant que votre pattern est non divulgés, aucuns risques.le 25/04/2013 à 16:33 -
vampirellaMembre éclairéAller, c'est vendredi, je me lâche !le 26/04/2013 à 9:22
-
benzobenMembre avertiCe qui serait intéressant, ce serait de faire ce sondage sur les utilisateurs de developpez.net!le 25/04/2013 à 14:17
-
SquisquiEn attente de confirmation mailIdem à sevyc64.
J'utilise un mot de passe pour un ensemble de sites dont l'identité/mail est bidon. À vrai dire, j'y introduis de vagues variantes afin de ne pas taper le même trop souvent (ce qui peut expliquer pourquoi j'ai 2 ou 3 essais lorsque je me connecte à un vieux site).
Par contre, pour les accès un poil plus critiques, c'est mot de passe unique long et compliqué (J'en ai qu'une demi-dizaine, donc ça se retient facilement).
Parfois, il est assez difficile de faire quelque chose d'efficace lorsqu'on est coincé par un champ de 4-8 caractères alphanumériques seulement.le 25/04/2013 à 14:28 -
Comme déjà dit plus tôt, chaque site impose des types de mots de passe différents.
Certains nécessitent une majuscule + un chiffre et pas deux lettres identiques.
D'autres demandent au moins 8 caractères, d'autres maximum 8, d'autres enfin te laissent encoder 50 caractères mais n'utilisent que les 10 premiers, donc après l'inscription tu n'arrives pas à te logger...
Enfin, pour ma part il ne s'agit pas d'une quinzaine de mots de passe à retenir mais bien d'une centaine... alors à force j'utilise des astuces.
Début de mot de passe non critique + nom-du-site + fin de mot de passe non critique, afin au moins d'avoir un hash différent sur chaque site.
Pour certains sites plus sensibles :
Début de mot de passe complexe + nom-du-site + fin du mot de passe complexe.
Certains sites imposent des limites stupides, pour ceux là je n'hésite pas à faire un renvoi de mot de passe quand j'ai besoin de m'y connecter, jusqu'à ce que je retienne le mot de passe sur le site.
Enfin, j'ai pas envie de lier qqch à Google, car Google peut très bien vous bannir un jour de ses services, on ne met pas tous les oeufs dans le même panier surtout vu le paquet de services Google qui ont été fermés ces dernières années, obligeant chaque fois à aller voir ailleurs.
Et garder les mots de passe dans un outil, pas question... car du coup on ne s'en souvient pas quand on en a besoin et que l'outil n'est pas dispo... par exemple j'utilise Smartphone, Tablette, Pc portable Dual boot, Pc fixe dual boot, PC de bureau, pc de X, Pc de y... j'ai pas envie de mettre l'outil partout...
Bref la mémoire et quelques astuces ça reste pratique.
Pour ma part j'utilise souvent donc un mot de passe intelligent, ensuite j'y remplace certaines lettres par des caractères spéciaux et chiffres, enfin je coupe le mot de passe en deux et j'insère au milieu le nom de domaine du site.
Cela me va bien jusqu'ici....le 25/04/2013 à 15:20 -
sevyc64ModérateurCe n'est pas forcément les mails des personnes a risque, célèbres / influentes qui interessent le plus les hackers.
Les machines tout à fait banales, anonymes, de monsieur Tout-Le-Monde et les identités sont aussi très intéressantes pour eux. Généralement peu sécurisées, elles sont facilement compromissibles pour être utiliser ensuite soit dans des actions groupées (bot de spam, attaque Ddos, etc...) soit pour masquer sa propre identité.
Ca c'est la théorie. Dans la pratique, ce n'est pas toujours très simple de se faire rembourser, et ça peu prendre plusieurs mois, surtout s'il y a de fortes sommes à l'étranger. Entre-temps tu peux te retrouver avec un compte vide, voire tous les comptes bloqués et interdit bancaire, etc...
Et ça ne te dérange pas que tes amis soient assaillis de pub, voire de messages indiquant tu es bloqué dans un pays africain, gravement malade, avec un besoin important d'argent pour pouvoir rentrer ?
Heureusement que l'on est pas amis.
Avoir un compte Facebook est déjà en soi une grosse faille de sécurité
Sauf qu'il faudra d'abords découvrir le premier et l'analyser pour comprendre comment il est construit et espérer ainsi en découvrir d'autres sur le même principe.
Oui, "tant qu'il est non divulgué, aucun risque!", sauf qu'il n'a pas besoin d'être divulgué. Un mot de passe simple a de très fortes chances d'être présent dans les dico d'attaque par BruteForce. Ton mdp n'as pas besoin d'être divulgué, il suffit que sa combinaison soit essayée aléatoirement pour être découvert.
Dont tu en es un parfait représentant avec toutes les anneries et la mauvaise fois que tu viens de donner
On pourrait croire au troll, mais quelque chose me dit que non.
Maintenant, libre à toi de choisir un mot de passe hyper simple et de l'utiliser partout. Je te le souhaite pas, mais si un jour il est découvert, probablement que tu changeras d'avis.le 26/04/2013 à 9:43 -
herve4Membre habituéBonjour,
Pour ma part, j'utilise KeePass (gratuit, tres simple je le recommande) qui gère tout mes mots de passe.
Ca me pemet de mettre à chaque fois le mots de passe le plus long donc le plus complexe à dechiffrer.
De nos jours, pour les activités web tel les achats sur Internet, consulter sa boite mail, etc ... il FAUT mettre un mot de passe différents.
Utiliser un logiciel pour assurer la sécurité des mots de passe, c'est aussi important que l'installation d'un antivirus.
Rien ne garanti la confidentialité des mots de passe sur les site commerciaux ou autres, alors n'hesitez pas !
A bon entendeur ...le 25/04/2013 à 13:44 -
niarkyzatorMembre confirméLe problème avec ton mot de passe "L'agréable inclination à l'élégante compagnie" est qu'il est trop long pour la plupart des site.
Chaque site à une regex différente sur ce qu'il accepte ou n'accepte pas, et au final t'es souvent obligé de sortir un truc de 10 caractère avec des $#%° partout des chiffres et des majuscules parce que sinon il n'est pas accepté.le 25/04/2013 à 15:11 -
LocekaExpert confirméPresque pareil que sevyc64 et Squisqui (allez, encore un peu et on fait une chaîne !) : j'utilise des mots de passe différents et que j'espère sécurisé pour mes boîtes mails (qui contiennent pour le coup des données perso et des liens vers les différents comptes), par contre pour les sites web (et c'est plutôt une cinquantaine qu'une quinzaine pour répondre à leternel), y compris pour les sites de paiement en ligne (de toute façon y'a pas mes coordonnées bancaires dessus), je tourne entre 5 mots de passe (selon les règles de sécurité imposées par le site).le 25/04/2013 à 15:31
-
lvrMembre extrêmement actifT'as pas compris le principe !!!!
"L'agréable inclination à l'élégante compagnie"
donne comme mot de passe (par exemple)
L'aIalec
La phrase est un truc mnémotechnique pour retenir un mot de passe complexe.
Perso, j'utilise 2 types de mot de passe.
Pour les sites critiques, un mot de passe complexe, mémorisé par une phrase mnémotechnique
Pour les sites non-critiques:
- un mot de passe composé d'une base commune et d'une base dépendante du siteweb.
- un login par domainele 25/04/2013 à 16:27