Newsletter Developpez.com

Inscrivez-vous gratuitement au Club pour recevoir
la newsletter hebdomadaire des développeurs et IT pro

Classement des pires mots de passe de 2015 :
« 123456 » et « password » conservent la première et seconde position

Le , par Stéphane le calme, Chroniqueur Actualités
SplashData, un éditeur d’applications de gestion de mots de passe, s'est lancé depuis quatre ans déjà dans une opération d’analyse des mots de passe divulgués par les pirates. Comme à son habitude, l'éditeur a publié la liste des 25 mots de passe qui ont été le plus utilisés (majoritairement par des internautes d'Amérique du Nord et d'Europe de l'Ouest) durant l'année 2015 pour encourager l'adoption de mots de passe forts afin d'améliorer la sécurité sur internet.

Une liste qui s'appuie sur un échantillon de plus de deux millions de mots de passe qui ont fuité durant l'année 2015. Aussi, même si les statistiques peuvent ne pas être des plus représentatives, elles dessinent tout de même une tendance.

Les deux premières n'ont pas été changées entre 2014 et 2015. Neuf nouveaux mots de passe ont fait leur entrée dans le top 25 à l'instar de welcome, login, solo ou starwars.

  1. 123456 (sa position n'a pas changé depuis la liste de l'année dernière)
  2. password (sa position n'a pas changé depuis la liste de l'année dernière)
  3. 12345678 (gagne une place dans le classement)
  4. qwerty (gagne une place dans le classement)
  5. 12345 (perd deux places dans le classement)
  6. 123456789 (sa position n'a pas changé depuis la liste de l'année dernière)
  7. football (gagne trois places dans le classement)
  8. 1234 (perd une place dans le classement)
  9. 1234567 (gagne deux places dans le classement)
  10. baseball (perd deux places dans le classement)
  11. welcome (nouvel élément)
  12. 1234567890 (nouvel élément)
  13. abc123 (gagne une place dans le classement)
  14. 111111 (gagne une place dans le classement)
  15. 1qaz2wsx (nouvel élément)
  16. dragon (perd 7 places dans le classement)
  17. master (gagne deux places dans le classement)
  18. monkey (perd 6 places dans le classement)
  19. letmein (perd 6 places dans le classement)
  20. login (nouvel élément)
  21. princess (nouvel élément)
  22. qwertyuiop (nouvel élément)
  23. solo (nouvel élément)
  24. passw0rd (nouvel élément)
  25. starwars (nouvel élément)


« Nous avons observé un effort fourni par de nombreuses personnes en matière de sécurité qui ont ajouté des caractères à leurs mots de passe. Mais si ces longs mots de passe se basent sur des modèles simples, vous vous retrouverez avec la même probabilité de risque de voir votre identité subtilisée par des pirates », a expliqué Morgan Slain, PDG de SplashData. « Comme nous pouvons le voir sur la liste, utiliser des sports populaires ou des termes de la culture pop est également une mauvaise idée. Nous espérons qu'avec une plus grande propagande sur combien il est dangereux d'utiliser des mots de passe faibles, plus de personnes vont prendre des mesures pour renforcer leurs mots de passe et, plus important encore, utiliser des mots de passe différents pour différents sites web », a-t-il continué.

Source : SplachData

Et vous ?

Qu'en pensez-vous ? Quel est le pire mot de passe que vous ayez déjà utilisé ? Vous reconnaissez-vous dans cette liste ?

Voir aussi :

À 11 ans, elle vend des mots de passe forts moyennant deux dollars en se servant de la méthode Diceware

Des chercheurs ont trouvé des failles dans le système de protection de mots de passe d'Ashley Madison qui fait appel à la fonction de hash bcrypt

59 % des consommateurs américains réutilisent leurs mots de passe sur la toile, selon Password Boss, et 43 % préfèrent les noter sur du papier


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de WaterTwelve21 WaterTwelve21 - Membre actif https://www.developpez.com
le 21/01/2016 à 10:21
Quelqu’un peut m'expliquer ce que fout 1qaz2wsx dans ce classement ?
Avatar de BenoitM BenoitM - Membre expert https://www.developpez.com
le 21/01/2016 à 10:25
Citation Envoyé par WaterTwelve21 Voir le message
Quelqu’un peut m'expliquer ce que fout 1qaz2wsx dans ce classement ?
avec ton clavier c'est 1aqw2zsx
c'est un peu l'équivalent de azerty
Avatar de WaterTwelve21 WaterTwelve21 - Membre actif https://www.developpez.com
le 21/01/2016 à 10:28
Citation Envoyé par BenoitM Voir le message
avec ton clavier c'est 1aqw2zsx
c'est un peu l'équivalent de azerty
Ha oui bien vu ! Merci
Avatar de Glutinus Glutinus - Expert éminent sénior https://www.developpez.com
le 21/01/2016 à 10:52
Moi c'est Monkey et Dragon qui m'interpellent...
Peut-être l'année du singe et du dragon ? Dans ce cas il devrait y avoir des yoyos selon l'année chinoise dans laquelle on se trouve
Avatar de Iradrille Iradrille - Expert confirmé https://www.developpez.com
le 21/01/2016 à 11:13
Étonnant qu'aucun password n'ait minuscule / majuscule / chiffre.

A peu près partout c'est le minimum requis pour s'inscrire. Enfin, probablement un gros service qui ne demande pas ça. (Facebook ? Google ?)
Avatar de agilare agilare - Membre à l'essai https://www.developpez.com
le 21/01/2016 à 12:09
Il serait intéressant d'avoir une sélection de mots de passes issus de sites francophones.
Avatar de RyzenOC RyzenOC - Membre expert https://www.developpez.com
le 21/01/2016 à 12:51
Après es ce grave ?

Moi même j'utilise ce genre de mots de passe sur des sites bidons, avec un email poubelle ou je dois m'inscrire pour utiliser des fonctionnalités.

Utilisé ce genre de mots de passe sur des sites sans importance, les site de download, les forums..etc.
Sur des sites sensible (ebay...etc) la par contre oui c'est un problème.

Sa serait bien de voir d'ou provienne ces mots de passes (sur quels sites web).
Avatar de bugu57 bugu57 - Futur Membre du Club https://www.developpez.com
le 21/01/2016 à 14:55
Et sinon "starwars" on en parle ?
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 22/01/2016 à 5:04
@bugu57
je ne pense même pas que ce soit nécessaire
Avatar de exe2bin exe2bin - Membre actif https://www.developpez.com
le 01/02/2016 à 21:07
Quid du mot de passe vide ? Un bon prétendant à la médaille d'or! Non !
Avatar de Olivier Famien Olivier Famien - Chroniqueur Actualités https://www.developpez.com
le 16/01/2017 à 18:45
Classement des mots de passe les plus utilisés : 123456 en tête suivi de 123456789 et qwerty,
quels sont selon vous les pires mots de passe à bannir ?

Keeper, le fournisseur de solutions de gestion des mots de passe pour les entreprises et les individus, vient de livrer son rapport concernant les mots de passe les plus utilisés de l’année 2016. Ce rapport a été établi sur la base d’environ 10 000 000 de mots de passe qui ont été rendus publics après les différentes violations de données survenues en 2016.

Dans ce rapport, le mot de passe 123456 occupe la première place avec 17 % d’utilisateurs faisant recours à ce dernier pour sécuriser leurs différents comptes. Ce n’est en effet pas une surprise de le voir tenir la tête de classement, car depuis 2014, SplachData l’éditeur d’applications de gestion de mots de passe l’avait classé en première place des pires mots de passe les plus utilisés. Il est suivi par le mot de passe 123456789 semblable au premier avec un simple un rallongement de la suite numérique. Dans le classement de SplachData en 2015, ce mot occupait la 6e place. Il a donc gagné 4 places. En troisième position sur le podium, l’on a le mot de passe qwerty qui occupait l’an dernier la 4e place. Il a donc gagné davantage en popularité en l’espace de 12 mois. Ci-dessous la liste complète du classement 2016 pour les 25 mots de passe les plus faciles à deviner avec une comparaison à celui délivré par SplachData en 2015.

  1. 123456 (2015 : 1re place)
  2. 123456789 (2015 : 9e place)
  3. qwerty (2015 : 4e place)
  4. 12345678 (2015 : 3e place)
  5. 111111 (2015 : 14e place)
  6. 1234567890 (12e place)
  7. 1234567 (2015 : 9ème place)
  8. password (2015 : 2ème place)
  9. 123123 (nouvel entrant)
  10. 987654321 (nouvel entrant)
  11. qwertyuiop (22e place)
  12. mynoob (nouvel entrant)
  13. 123321 (nouvel entrant)
  14. 666666 (nouvel entrant)
  15. 18atcskd2w (nouvel entrant)
  16. 7777777 (nouvel entrant)
  17. 1q2w3e4r (nouvel entrant)
  18. 654321 (nouvel entrant)
  19. 555555 (nouvel entrant)
  20. 3rjs1la7qe (nouvel entrant)
  21. google (nouvel entrant)
  22. 1q2w3e4r5t (nouvel entrant)
  23. 123qwe (nouvel entrant)
  24. zxcvbnm (nouvel entrant)
  25. 1q2w3e (nouvel entrant)


Comme on peut le constater, la majorité des mots de passe classés dans le top 10 sont utilisés depuis plusieurs années avec leur place variant au fil des années. En outre, plusieurs mots de passe dans cette liste ne sont pas longs (4 à 6 caractères). L’inconvénient avec ces mots de passe courts est que la puissance de calcul des terminaux d’aujourd’hui permettent de les cracker en quelques secondes. Par ailleurs, quand bien même ils seraient longs, l’on note qu’ils sont tellement courants qu’il est possible pour des pirates de les deviner aisément en utilisant des dictionnaires de mots de passe. Enfin, Keeper précise que certains mots de passe comme 3rjs1la7qe ou 18atcskd2w qui paraissent difficiles à pirater apparaissent dans cette liste, car les bots utilisent de manière répétitive ces mots de passe pour créer des comptes fictifs afin de lancer des attaques de phishing ou de spamming.

Pour protéger ses données contre les personnes non autorisées, il est généralement recommandé d’utiliser des mots de passe avec des caractères alphanumériques et comprenant des lettres en majuscule et en minuscule ainsi que des caractères spéciaux. Toutefois, un des freins à l’utilisation de ce type de mots de passe est la difficulté à retenir ces mots de passe complexe. Mais si l’on souhaite se prémunir de toute violation de données, il paraît nécessaire d’utiliser ce type de mots de passe. Et les administrateurs de sites web ou de systèmes devraient contribuer à adopter cela en alertant l’utilisateur lorsque son mot de passe est faible ou en lui proposant des mots de passe forts difficiles à cracker.

Source : Keeper

Et vous ?

Que pensez-vous de ce classement ?

Utilisez-vous un de ces mots de passe ? Allez-vous le changer pour un mot de passe plus sûr ?

Selon vous, quels sont les pires mots de passe à bannir à ne pas utiliser ?

Voir aussi

Classement des pires mots de passe de 2013 « 123456 » apparaît en première position, suivi de « password »
Classement des pires mots de passe de 2015 : « 123456 » et « password » conservent la première et seconde position

La Rubrique sécurité, Forum sécurité, Cours et turoriels sécurtité, FAQs Sécurtié
Avatar de Omote Omote - Membre averti https://www.developpez.com
le 16/01/2017 à 19:38
Une bonne façon selon moi d'avoir des mots de passe différents pour chaque site est un phrase clé et une règle sur l'URL du site (en espérant qu'il ne change pas sinon on change le mot de passe).

Exemple:

Phrase clé = "LeJourDeMai68!"
Règle = 3 premières lettres du nom du site.
URL:http://www.developpez.net/ = "dev"
Mot de passe = "LeJourDeMai68!dev"
Avatar de RyzenOC RyzenOC - Membre expert https://www.developpez.com
le 16/01/2017 à 19:48
Dans ma boite on utilise des Smart cards PKI (qu'ils faut ré-initialiser 1 fois par mois) on as plus besoin de mot de passe.
Et sa s’intègre dans les navigateur web/page web, c'est pas réservé qu'a de l'applicatif installé sur la machine.

Je trouve cette solution parfaite, dans le sens ou j'aurais pas besoin de changer mes yeux/doigts si sa se fait hacker, mais j'ai pas à retenir de password de 16 caractere comme avant.
Et le hacker doit avoir ma carte pour pénétrer dans le système.
Avatar de _skip _skip - Expert éminent https://www.developpez.com
le 16/01/2017 à 19:56
En fait je pense qu'on a longtemps encouragé les gens à complexifier les mots de passes en y ajoutant de la longueur puis tour à tour des chiffres, des majuscules et autres en se concentrant sur les attaques brute force idiotes et on a complètement oublié de considérer la probabilité statistique. En tant qu'attaquant, vous avez le choix entre tester toutes les possibilités au bol comme un con ce qui vous prend des jours, des mois ou des siècles, ou alors essayer des combinaisons que l'on sait fréquentes d'utilisation. Genre [username] / [username]123 ou [nomduservice]1234, admin / password et j'en passe.

Les gens ont besoin de pouvoir mémoriser leur dizaine de passwords, ça sert à rien de leur imposer des règles de complexité car ça ne les conduit qu'à suivre des patterns simples ou alors les noter sur des post-it. Le seul remède que j'ai trouvé personnellement c'est d'utiliser un portefeuille de MP comme Keepass avec une passphrase "master" qu'il mémorise, puis sinon des passwords générés par machine pour chaque service.

En tout cas ça fonctionne chez moi, c'est le seul moyen pour ma cervelle de moineau de mémoriser les quelques 120 mots de passe privés et professionnels dont je me sers sans les noter en clair dans un fichier.
Avatar de NSKis NSKis - En attente de confirmation mail https://www.developpez.com
le 16/01/2017 à 23:38
Mais qu'est-ce-que c'est que ces théories à la con du style "C'est difficile à mémoriser des mots-de-passe trop long, trop compliqué"???

Est-ce que quelqu'un a entendu parler des "password manager"??? Il y en a des milliers de logiciels de ce type disponibles gratuitement pour toutes les plateformes imaginables!!!

1. Tu te fais des passwords compliqués

2. Tu les enregistres dans un "password manager" qui stocke les passwords de manière cryptées

3. Quand tu as besoin de ton password, tu lances ton "password manager", un "copier-coller" de ton password et l'affaire est jouée!!!
Avatar de joublie joublie - Membre actif https://www.developpez.com
le 17/01/2017 à 1:23
Si l'on pense aux attaques par dictionnaires alors il n'y a pas à chercher les pires mots de passe : il faudrait plutôt en citer quelques centaines de milliers, tous vulnérables... En revanche, dans un cadre amateur, typiquement de l'espionnage " à la main " entre conjoints, une liste courte a du sens (et peut donner des idées !).
Avatar de Tagashy Tagashy - Membre actif https://www.developpez.com
le 17/01/2017 à 8:54
[EDIT]petite question que je me pose comment ils ont eu les donnée pour faire leur statistique?
je vois deux possibilité:
1) un sondage (mais faut être sacrement con pour filer son password comme ça ... enfin vu le niveau de la bêtise humaine ces dernier temps, ça ne m'étonnerais pas plus que ça)
2) il disent être une société de gestionnaire de mot de passe ... stockage réversible des password ??? (ou pire backdoor dans le code source ... enfin ni l'une ni l'autre est bien ...)

cependant vu qu'ils parlent des mots de passe de bot et que ces dernier ne répondrais pas au sondage et n'utilise pas de gestionnaire de mot de passe, j'ai peur qu'il s'agisse de stockage réversible de mots de passe (autant dire que je ne fais pas confiance a cette entreprise)
[/EDIT]
effectivement j'ai lue à la va vite le début au temps pour moi et merci de m'avoir montrer mon erreur @Pr3Nom

perso j'utilise toujours du random pour mes mots de passe mais j'en utilise que deux (un pour la boîte mail et un autre pour tous les autres site, je compte pas le mots de passe du taf qui lui est imposer par mon taf et change tout les 3 mois)
et la première chose que je fais lorsque je change de mot de passe est de désactiver toute les remplissage automatique du mot de passe jusqu'as ce que je l'ai appris par cœur, ça prend moins d'une semaine et ça stimule la mémoire (au niveau mnémotechnique ça fait un enchaînement de 6-7 petite séquence de 2-3 caractère )
Avatar de bclinton bclinton - Membre habitué https://www.developpez.com
le 17/01/2017 à 9:15
J'imagine qu'ils font leur stat en utilisant un dictionnaire et un bruteforce sur les pwd cryptés.

Et ils sortent le palmarès des pwd crackés.
Avatar de Pr3Nom Pr3Nom - Nouveau Candidat au Club https://www.developpez.com
le 17/01/2017 à 9:18
Citation Envoyé par Tagashy Voir le message
petite question que je me pose comment ils ont eu les donnée pour faire leur statistique?
je vois deux possibilité:
1) un sondage (mais faut être sacrement con pour filer son password comme ça ... enfin vu le niveau de la bêtise humaine ces dernier temps, ça ne m'étonnerais pas plus que ça)
2) il disent être une société de gestionnaire de mot de passe ... stockage réversible des password ??? (ou pire backdoor dans le code source ... enfin ni l'une ni l'autre est bien ...)

cependant vu qu'ils parlent des mots de passe de bot et que ces dernier ne répondrais pas au sondage et n'utilise pas de gestionnaire de mot de passe, j'ai peur qu'il s'agisse de stockage réversible de mots de passe (autant dire que je ne fais pas confiance a cette entreprise)
Deuxième phrase de l'article :

Ce rapport a été établi sur la base d’environ 10 000 000 de mots de passe qui ont été rendus publics après les différentes violations de données survenues en 2016.
Relis l'article avant de crier au loup.
Avatar de satenske satenske - Membre confirmé https://www.developpez.com
le 17/01/2017 à 10:43
Je pense qu'il est temps de ressortir ce bon vieux xkcd

Avatar de Franck.H Franck.H - Rédacteur https://www.developpez.com
le 17/01/2017 à 11:50
Citation Envoyé par Invité Voir le message
Le changement de MdP peut être très chronophage.

Quand je bossais chez Cisco, on devait changer le bazar tous les 45 jours et croyez-moi, c'était vraiment galère parce qu'il y avait un check de dictionnaire qui se faisait dans plus de 90 langues/dialectes. Sans compter qu'il fallait inclure des majuscules, chiffres et ponctuation

Puis, l'expérience aidant, voilà comment je procède pour les MdP... Je vous donne quelques exemples et vous aurez vite compris

Ma meuf, elle porte du 90B :-P

!MmEpd90B:-P

Tiens, je suis à découvert de 200€ :-(

?TjSaDd200€:-(

L'anniversaire de mon fils, c'est le 5 mars 1992 :-)

*LadMfCl5031992:-)

Mes 4 chats s'appellent Becky, Venus, Chipie et Cookie

:!M4CsBVCC

Le stock Cisco est tombé à 20$ :-(

LsCSCO20$:-(

J'ai pas passé ces MdP au password checker, mais je sais d'avance qu'ils sont strongs

Steph
C'est ma méthode de création de password
Avatar de Franck.H Franck.H - Rédacteur https://www.developpez.com
le 17/01/2017 à 11:55
Citation Envoyé par bodking01 Voir le message
Sinon, on peut mettre "incorrect" comme mot de passe comme ça si on oublie, on tape n'importe quoi et il dis "le mot de passe est incorrect"
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 17/01/2017 à 12:31
je comprends pas cette liste de mot de pass.

je m'attendait a avoir que des mot de passe facile a déduire, car facile a obtenir par paresse.

le qwertyuiop est logique, le 123456789 aussi par contre les pass :

- 18atcskd2w
- 1q2w3e4r
- 3rjs1la7qe

vous pouvez me dire d'ou viennent ces mot de passe ? il sont lié à quel type de clavier, ou référence a une culture geek ?

Merci.
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 17/01/2017 à 12:35
moi je me suis fait un soft qui me génère 1 mot de passe encodé selon le nom de domaine et le passkey de la bank de mot de pass que j'ai mit.

je fait cela uniquement pour les sites importants qui nécessite un mot de pass costaud, nécessitant des pass alpha numerique avec casse et char spéciaux.

un acces forum, ou il n'y a rien de spécial a protéger comme ici, j'ai un mot de passe banal.
Avatar de Gregoriz Gregoriz - Nouveau membre du Club https://www.developpez.com
le 17/01/2017 à 14:57
Citation Envoyé par Aiekick Voir le message
- 1q2w3e4r

C'est le password ayant pour règle de prendre l'index de chaque lettre du pwd 'qwerty' et de le mettre devant chaque lettre:
qwer
1234

Fusionné en 1q2w3e4r

Par contre je suis d'accord que les autres j'ai pas trouvé encore. J'me demande de quel clavier il peut sagir.
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 17/01/2017 à 18:26
Ah, c'est pas en France que quelqu'un utiliserait qwerty comme mot de passe !

Avatar de Tagashy Tagashy - Membre actif https://www.developpez.com
le 18/01/2017 à 8:36
@Aiekick
pour les autres mot de passe que 1q2w3e4r (sur mon qwertz (clavier allemand) tu fais juste haut bas haut bas ... en azerty ça donnerais 1a2z3e4r5t ...) c'est écrit dans l'article (toi aussi tu fais comme moi et lis pas tout ) il s'agit de mot de passe de bot de spam et phishing
Avatar de disedorgue disedorgue - Expert éminent https://www.developpez.com
le 18/01/2017 à 13:36
Pour moi, le fait d'imposer des contraintes autres que orale sur le choix de son mot de passe est une erreur car cela réduit d'autant la plage de recherche du dit mot de passe.

Et je m'attendais à trouver un mot de passe qu'il m'arrive de temps à autre d'utilisé (très temporairement bien sur) : 1472583690 (voir pavé numérique pour comprendre)
Offres d'emploi IT
Bras droit du CEO Getpro (H/F)
Getpro - Ile de France - Paris - 4ème arrondissement
Concepteur- développeur H/F
IT-CE - Ile de France - Paris (75000)
Concepteur/Développeur Nouvelles Technologies (H/F)
Atos Intégration - Ile de France - France

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil