Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

SplashData classe les pires mots de passe de 2014
« 123456 » apparaît en première position, suivi de « password »

Le , par Hinault Romaric

23PARTAGES

1  0 
Le mot de passe est un des éléments essentiels de la sécurité des systèmes d’information. Le couple mot de passe/identifiant de l’utilisateur est le moyen d’authentification le plus utilisé par les services en ligne.

Malgré les opérations de sensibilisation, le mot de passe reste toujours, cependant, l’un des maillons faibles de la sécurité, car les utilisateurs ont tendance à adopter des mots de passe courts, facilement prévisibles, alors qu’il est conseillé d’utiliser des mots de passe forts, qui respectent certaines conditions.

SplashData, un éditeur d’applications de gestion de mots de passe, s’est lancé, depuis quelques années, dans une opération de sensibilisation, grâce au classement des « pires mots de passe » les plus utilisés par les internautes. Le classement de SplashData a été effectué en s’appuyant sur l’analyse de 3,3 millions de mots de passe qui ont été divulgués par les pirates au cours de l’année 2014. La plupart des données provient de l’Amérique du Nord et de l’Europe occidentale.

Pour 2014, le mot de passe « 123456 » demeure le pire mot de passe le plus utilisé, suivi de près par « password ». On retrouve également des mots de passe comme « querty », « abc123 », ou encore « monkey ». Certains mots de passe ont fait leur entrée pour la première fois dans la liste, dont « football », « master » et « superman ».

Pratiquement dix des 25 pires mots reposent uniquement sur des chiffres. Il ne s’agit pas des chiffres choisis au hasard, mais des combinaisons qui sont facilement prévisibles comme « 1234 », ou encore « 111111 ».


SplashData note cependant que le taux d’utilisation de ces mots de passe a légèrement baissé par rapport aux années antérieures. « La bonne nouvelle est que les internautes s’éloignent peu à peu de ces mots de passe », affirme SplashData dans un billet sur son site. « En 2014, les 25 premiers mots de passe représentaient environ 2,2% de mots de passe exposés. Bien que ce chiffre soit toujours effrayant, il représente le plus faible pourcentage de personnes utilisant les pires mots de passe, depuis le début de notre étude. »

Source : CP de SplashData

Et vous ?

Qu'en pensez-vous ? Quel est le pire mot de passe que vous ayez déjà utilisé ? Vous reconnaissez-vous dans cette liste ?

Quel est votre stratégie pour créer un mot de passe fort ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de psychadelic
Expert confirmé https://www.developpez.com
Le 21/01/2015 à 19:15
Un vieux gag, mais toujours d'actualité

Créez votre mot de passe :
- "carotte"

Désolé, votre mot de passe doit faire plus de 8 caractères.
- "carottegéante"

Désolé, votre mot de passe doit contenir un chiffre.
- "1carottegéante"

Désolé, votre mot de passe ne doit pas contenir de caractère accentué.
- "50putaindecarottesgeantes"

Désolé, votre mot de passe doit contenir au moins une majuscule.
- "50PUTAINdecarottesgeantes"

Désolé, votre mot de passe ne doit pas contenir deux majuscules consécutives.
- "50PutainDeCarottesGeantesQueJeVaisTeMettreAuCulSiTuNeMedonnesPasImmediateme
ntUnAcces!"

Désolé, votre mot de passe ne doit pas contenir de caractère de ponctuation.
- "AttentionMaintenantJeVaisAllerTeTrouverEtTeMettreVraimentLes50CarottesGeant
esdansletrouducul"

Désolé, ce mot de passe est déjà utilisé....
10  0 
Avatar de codec_abc
Membre confirmé https://www.developpez.com
Le 21/01/2015 à 13:35
C'est clair que d'utiliser un mot de passe faible c'est pas très malin. Mais ce qui me choque encore plus que les personnes un peu stupide qui utilisent des mots de passes faibles, c'est les entreprises qui stockent les mots de passe en clair. Quand l'APEC et la Poste Mobile sont capables de m'envoyer mon mot de passe en clair je me dis que c'est bien beau de d'essayer d'éduquer les utilisateurs quand certains développeurs sont encore plus nuls en matière de sécurité. De même les mots de passes dans la liste ne devraient pas pouvoir être utilisés. C'est aussi de la responsabilité de l'entreprise qui va stocker des mots de passes d'interdire à ses utilisateurs de choisir des mots de passes faibles. Bref, l'utilisateur sert souvent de bouc émissaire quand la faute première n'est pas la sienne.
7  0 
Avatar de Zefling
Membre expert https://www.developpez.com
Le 21/01/2015 à 13:51
Citation Envoyé par codec_abc Voir le message
Quand l'APEC et la Poste Mobile sont capables de m'envoyer mon mot de passe en clair je me dis que c'est bien beau de d'essayer d'éduquer les utilisateurs quand certains développeurs sont encore plus nuls en matière de sécurité.
Ça aussi ça me choc. Pour moi, un mot de passe doit être hashé.
4  0 
Avatar de Vinorcola
Membre régulier https://www.developpez.com
Le 21/01/2015 à 19:02
Citation Envoyé par codec_abc Voir le message
C'est aussi de la responsabilité de l'entreprise qui va stocker des mots de passes d'interdire à ses utilisateurs de choisir des mots de passes faibles.
Pas du tout d'accord avec ça.C'est la responsabilité de l'entreprise de SENSIBILISER ses utilisateurs et de les INCITER à mettre des mots de passes plus fort, mais en aucun cas à les obliger. Il n'y a rien de plus débile que d'obliger l'utilisateur à mettre un chiffre, une majuscule, un caractère non-alphanumérique etc. C'est autant d'indications que vous donnez au pirate : ça réduit la liste des mots de passes disponible et théoriquement améliore le rendement de la force brute ! De plus, cela encourage les gens à rajouter "0#" (ou un pattern très similaire) par exemple devant ou derrière leur mot de passe : "azerty" devient "0#azerty" (youhou ! quelle progression fulgurante).

Donc non, non, et non. Il faut encourager les gens, mais pas les restreindre. Restreindre vos utilisateur, c'es restreindre le champ de manœuvre du pirate (donc de lui simplifier la tâche).
2  0 
Avatar de fredinkan
Membre éprouvé https://www.developpez.com
Le 21/01/2015 à 18:35
Tiens... Les gens qui crient aux mots de passe pas hashés...

ça me fait penser que le dans dernier leak de comptes sony (dont les comptes station des joueurs PC), les mots de passes étaient en clair...
Et le dernier leak a suivi d'un jour le "hacking" de sony pictures.

Ca fait peur...
1  0 
Avatar de tiresias54
Membre actif https://www.developpez.com
Le 21/01/2015 à 13:33
mettre "master" en mot de passe c'est un peu comme s'apeller "LeBoGossDu59" sur un chat.
0  0 
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 21/01/2015 à 14:06
Citation Envoyé par Zefling Voir le message
Ça aussi ça me choc. Pour moi, un mot de passe doit être hashé.
C'est désormais une obligation imposée par la CNIL
De même qu'il est interdit d'utiliser les données de prod en recette et en dev (bien évidemment, on a tous connu ça)

Par contre, vu les moyens de la CNIL et le nombre de sites à contrôler, ça prend du temps
0  0 
Avatar de esired
Membre averti https://www.developpez.com
Le 21/01/2015 à 18:01
J'ai des collègues (analystes programmeurs) qui utilisent des mots de passe qui sont dans cette liste
0  0 
Avatar de Mingolito
Membre extrêmement actif https://www.developpez.com
Le 21/01/2015 à 18:25
Moi je suis tranquille personne ne trouvera mon nouveau mot de passe car il est super long, c'est : "jesuischarlie".
J’utilise le même mot de passe pour tous les services que j'utilise c'est plus sur .
0  0 
Avatar de Pierre Louis Chevalier
Expert éminent sénior https://www.developpez.com
Le 21/01/2015 à 18:30
Citation Envoyé par Nairolf21 Voir le message
C'est bien de fournir une telle liste, comme cela, si l'on souhaite hacker un utilisateur, on n'a qu'à tester les 100 premiers mots de passes, on trouvera bien des gens qui les utilisent !
C'est le principe, les logiciels de cracking de base utilisent un "dico" qui se base sur les mots du vocabulaire plus les mots de passe les plus courant, avec ça tu arrive à hacker pas mal de comptes.

Si tu veux hacker un compte qui à un mot de passe plus sécurisé : avec un mélange de lettres en majuscule, minuscule, et chiffres , voir des caractères spéciaux, comme par exemple "Sdn7jer*9Ls-r'5" c'est pas forcément impossible mais cela prends bien plus de temps.

Un autre gros problème de sécurité c'est tous les services qui utilisent les emails comme login, hors avec les robots de captures il y à énormément d'emails qui circulent dans les listes de spams, donc les emails les hackers les ont, il leurs restent juste à casser le password.

Si les très nombreux crétins qui demandent l 'email aux utilisateurs comme nom de compte avait demandé aux utilisateur de créer un compte de login (sécurisé tant qu'à faire) , c'est comme s'il y avais deux mots de passe à cracker, donc bien plus sur.

Un très grand nombre de sociétés, dont des sociétés de jeux en ligne qui utilisent les emails comme login se sont faits pirater des centaines de milliers de comptes.
Pourtant cette erreur cruciale à été commise même chez les plus connus du marché.

Donc tu achètes une base de 10 millions d'email via l'undernet pour quelques euros, tu as plus qu'à balancer ta liste d'email en testant les mots de passe les plus courant et tu peu pirater des tonnes de comptes...
0  0