Découvrez les mots de passe les plus populaires, vous n'allez pas en croire vos yeux

11 décembre 2019 à 09h37
19
Fotolia mot de passe password
© Fotolia

Les appels répétés au renforcement de ses mots de passe émis ces dernières années n'ont pas suffi. On retrouve en effet les mêmes « hits » d'une année à l'autre.

Le mot de passe demeure un peu, par définition, la première barrière de sa protection numérique. Parfois, il reste même l'unique protection, une preuve qu'il ne faut surtout pas le négliger. Pourtant, de nombreux internautes et mobinautes utilisent toujours des mots de passe d'une évidence décapante, ce qui est une aubaine pour les cybercriminels qui procèdent à des attaques par dictionnaire et déchiffrent les mots de passe d'une base de données regroupant les combinaisons les plus courantes et les plus faciles à décrypter.

Des classiques qui ont la peau dure

Ces deux dernières, on retrouve plus ou moins le même top 10 des mots de passe les plus populaires, listés par la société SplashData. En 2017, « 123456 » (l'indémodable !), « Password » et « 12345678 » occupaient les trois premières places, devançant « Qwerty », « 12345 », « 123456789 », « Letmein », « 1234567 », « Football » et « Iloveyou. »


Signe que les mauvaises habitudes ont la peau dure, ce classement était quasiment le même en 2018. Le podium était occupé par « 123456 », « Password » et « 123456789 ». Puis suivent « 12345678 », « 12345 », « 111111 », « 1234567 », « sunshine », « qwerty » et « iloveyou. » Nul doute que le top de 2019 rassemblera fortement au précédent.

« Les cybercriminels et leurs outils ne connaissent pas de barrière linguistique »

Hors du top 10, on retrouve également des suites de lettres et de chiffres communs comme « abc123 » ou « qwerty123. » Benoit Grunemwald, expert en cybersécurité chez ESET France, nous rappelle que ces listes doivent servir de base à l'élaboration de mots de passe plus sécuritaires. « Éviter de choisir des mots que ce soit des noms communs, noms propres, verbes... et quelle que soit votre langue », fait partie de ses recommandations. « Évidemment, les internautes anglo-saxons sont plus nombreux, mais les cybercriminels et leurs outils ne connaissent pas de barrière linguistique quand vient le temps de déchiffrer les mots de passe ».


Les séries de caractères facilement déchiffrables sont aussi à bannir, tout comme les mots de passe qui auraient potentiellement pu être identifiés dans une fuite de données. La règle d'or reste d'utiliser un mot de passe différent pour chaque site consulté, chaque service sollicité ou chaque application utilisée.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
19
12
LeToi
C’est quoi « letmein » ?
alexmirage
la traduction de laisse moi entrer
soaf78
Let me in<br /> Laisse moi rentrer
serged
« Let me in » : « Laisse moi entrer » en Toubon.
GRITI
Petite question: comment connaissent-ils les mots de passe? Ils les demandent aux gens qui leur donnent (j’en doute mais bon)? Ou alors tous les mots de passe sont stockés en clair sur les sites et les admin des sites peuvent les voir? Je doute aussi de cette réponse bien que cela doit arriver de temps en temps…
plinn
Ben non. On les connaît à travers les nombreuses fuites de bases de données de ces dernières années avec bien sur identifiants et mots de passe.<br /> Voir le site « Have I been pwnd ».
GRITI
Mouais. Donc il y a eu encore beaucoup de fuite de données en 2019… Et les bases de données sont donc en clair? Ce serait bien de savoir le taux d’utilisation que représentent ces mots de passe parmi tous ceux qui ont fuité.
notolik
Du coup je suis tranquille avec mon « azerty » !?!<br />
notolik
GRITI:<br /> Ou alors tous les mots de passe sont stockés en clair sur les sites et les admin des sites peuvent les voir?<br /> J’imagine que certains sites ne font aucun effort pour protéger leurs utilisateurs et que c’est le cas. <br /> C’est pourtant ultra simple de chiffrer les mots de passe avec un algo de hashing (exemple avec « azerty ») :<br /> MD5 = 0xAB4F63F9AC65152575886860DDE480A1<br /> SHA1 = 0x9CF95DACD226DCF43DA376CDB6CBBA7035218921<br /> SHA2_256 = 0xF2D81A260DEA8A100DD517984E53C56A7523D96942A834B9CDC249BD4E8C7AA9<br /> …<br /> Le résultat du hash est stocké en base. Au login, il suffit de rehash le mot de passe soumis (avec le même algo) et le comparer avec celui qui est stocké.<br /> Avec ce principe un admin ne peut pas « voir » ton mot de passe, ni le déduire/reconstruire à partir de son hash (sauf MD5, SHA qui sont trop « triviaux »).<br /> Mais soyez certain qu’un admin n’a pas besoin de connaitre ton mot de passe pour usurper ton identité. Au pire il peut même faire en sorte de capter ton mot de passe en clair derrière le SSL…<br /> Ca c’est pour les mot de passe, mais il est aussi possible de :<br /> Crypter toute ou partie d’une base pour éviter les vols massifs.<br /> et/ou<br /> Crypter individuellement une à une les données avec des clés de cryptages différentes.<br /> C’est par exemple ce qui se passe quand tu cryptes une chaine avec Slack (entre autres). Les messages de toutes les chaines sont stockées au même « endroit » (ensemble), pourtant elles ne sont pas cryptées avec la même clé (voir pas crypté du tout pour certaines).<br /> Mais dans tous les cas, un admin peut tout faire en rajoutant du code afin de capter à la saisie les clés individuelles…<br /> Par principe, un admin peut tout faire, même les choses qui lui sont normalement interdites mais c’est un autre débat.
GRITI
Merci pour tes explications. Il faudra que je me penche un peu sur le sujet un jour quand même…
notolik
GRITI:<br /> Il faudra que je me penche un peu sur le sujet un jour quand même…<br /> Pour protéger un site ou pour le hacker?<br />
GRITI
Les deux! En fait, un des types de job qui me passionnerait serait d’être payé pour tester les SI des entreprises, des sites web etc… pour essayer de trouver les failles. Intellectuellement ça doit être super stimulant d’essayer de trouver la ou les failles. De penser autrement, à un autre niveau etc…
notolik
Clair !!<br /> Mais un SI ne se limite pas aux sites Web (inter/intra/extra-net), aux services web en général ou aux bases de données…<br /> C’est tellement vaste et imbriqué!!<br /> Une fois que tu commences à avoir une expertise sur un aspect, tu te rends compte que ça ne vaut rien tant que d’autres ont des lacunes…<br /> A quoi bon avoir un site blindé, crypté, sql injection proof, … si un hacker peut obtenir des droits dessus via un simple mail à la con (et un type assez débile pour l’ouvrir)?<br /> A quoi bon mettre des GPO de fou, forcer un changement de mot de passe (de 500 caractères) ,non cycliques sur 500 ans, toute les 10mn, avec double authentification,… si un gamin de 14 ans pénètre le réseau de son téléphone en 12s?<br /> A quoi bon avoir tout prévu… Et se faire trahir par un employé dévoué à sa nation d’origine?<br /> La sécurité d’un SI doit être une approche globale… Du coup c’est chaud.
LeToi
Merci de l’info, je ne connaissais pas, je cherchais un sens en allemand ou néerlandais
GRITI
notolik:<br /> La sécurité d’un SI doit être une approche globale… Du coup c’est chaud.<br /> C’est qui doit rendre le truc passionnant. Surtout en mettant du social engineering dans l’équation…
juju251
notolik:<br /> A quoi bon mettre des GPO de fou, forcer un changement de mot de passe (de 500 caractères) ,non cycliques sur 500 ans, toute les 10mn, avec double authentification,… si un gamin de 14 ans pénètre le réseau de son téléphone en 12s?<br /> MdP de 500 caractère, ce n’est plus un mot de passe, mais un paragraphe. <br /> Non cyclique sur 500 ans, c’est le minimum là. <br /> Et changement toutes les 10 minutes, autant te dire que la productivité va en prendre un coup !
Kahn-San
surtout que pour certains utilisateurs il faudra déjà plus de 10 minutes pour taper les 500 caractères
meliweb
mdr GRITI. Eh oui sans parler de ceux qui ont un bon mot de passe mais comme on les oblige a changer tous les 2 mois ils finissent par le noter sur un bout de papier… ou dans un fichier excel bien en clair sur le reseau… !!! Les empreintes, la retine c’est quand meme plus simple.
Meloman-zz
Certes, à ceci près que le MD5 n’est plus sûr maintenant.<br /> Perso je fais un sha1(mot de passe), puis refais un sha1(salt + premier hash) et stocke ce dernier dans une table à part des utilisateurs. Avis aux amateurs…
Voir tous les messages sur le forum

Derniers actualités

Pour vous, le meilleur antivirus du marché est disponible à -60% pendant un an !
Après Samsung et Xiaomi, c'est au tour de Motorola d'officialiser son Razr 2022
Microsoft introduit l'effet Mica dans Word 2021
Microsoft corrige plus de 120 failles, dont 17 critiques
Offrez-vous un haut niveau de cybersécurité à bon prix avec cette suite antivirus Norton
Top 5 des applications à tester ce week-end sur votre smartphone
Waze et Google Maps pourraient bientôt devenir moins efficaces contre les bouchons
Voici les 10 chaînes YouTube les plus suivies en France et dans le monde
Faites de réelles économies sur votre forfait mobile avec l'offre Prixtel !
Cette solution VPN a vraiment tout pour vous séduire, à commencer par son prix
Haut de page