Commentaires : Voici la liste des 200 mots de passe les plus utilisés en 2020 (et c'est le désarroi)

Il y a des (mauvaises) habitudes qui ne changent pas. Selon le classement annuel des mots de passe les plus utilisés, dressé par le gestionnaire NordPass, on retrouve sans surprise les sempiternels « 123456 » et « 123456789 » en haut du classement… comme c’est le cas depuis 2013.

Après maintenant il faut créer des comptes pour à peu près n’importe quoi, on comprend que les gens ne veulent pas se compliquer la vie.
Il faudrait faire l’analyse sur des sites vraiment importants, genre avec des numéros de CB stockés.

5 J'aimes

C’est si facile de générer des mots de passe forts avec un gestionnaire de mots de passe, mais soit les gens ne savent pas que ça existe, soit ils sont trop fainéants pour en utiliser un.

6 J'aimes

Ce qui compte, ce n’est pas vraiment la liste des mots de passe les plus utilisés, ce serait plutôt de savoir quelle est la proportion de comptes les utilisant.

Parce que forcément, ces mots de passe faciles, ils resteront toujours les plus utilisés, puisque par définition un bon mot de passes est unique, donc peu utilisé…

Mais si le top 10 des mots de passe couvre 0.1% des comptes, ce n’est pas pareil que s’il en couvre 10%…

Le mot de passe le plus utilisé était utilisé 2.5 millions de fois sur 275 millions, ça ne fait donc que 1% (et encore, y a un truc pas clair : les 275 millions, c’est le nombre de mots de passe différents sur une liste de > 275 millions de mots de passe, ou bien c’est la taille de la liste complète avec doublons ?).

3 J'aimes

C’est pour ça que la meilleur chose à faire de nos jours c’est d’utiliser des gestionnaire de mot de passe et de ne pas hésiter à mettre des mot de passe très complexes et long.

Pour ceux qui voudraient savoir le pourquoi du comment, voici une explication :
Lors ce que vous entrez un mot de passe que ce soit pour créer un compte ou vous connecter, le site ne va en aucun cas, sauf pour les sites trop amateurs, stocker le mot de passe « en clair », ce qui signifie sans chiffrement.

Ce qui va ce passer c’est que votre mot de passe va être transformer, une procédure qu’on appel Hashing, c’est une transformation qui ne peux absolument pas être fait en sens inverse avec quelque clef que ce soit.
D’ailleurs la majorité des sites vont mélanger votre nom d’utilisateur/adresse email et votre mot de passe ce qui rend la chose plus compliqué, et qui est, entre autre, la raison pour laquelle on ne précise pas si c’est le nom d’utilisateur/adresse email et/ou votre pseudo sont incorrect.

Le site lui contiens une liste de ces clef hashé, et si vous rentrez la bonne combinaison pseudo/mot de passe, alors ça correspond à ce qui ce trouve sur le site et vous pouvez vous connecté.

À ce moment là, vous obtenez un cookie :cookie:, c’est le nom d’un fichier qui se loge dans votre navigateur et contient des informations, tel que la « session », en effet, un site n’as pas vraiment de moyen de savoir si c’est toujours vous lors ce que vous rafraîchissez/changer la page, et plutôt que de se connecter à chaque fois, un cookie sert à maintenir votre connexion active.

À partir de là, deux informations sont à prendre en compte, le niveau de sécurité du code de hashage, et la complexité de votre mot de passe, pourquoi ?
Et bien, grace au fait que seul les code hashé sont stocker sur les serveurs, la seul façon pour voler votre mot de passe depuis le site, c’est dans un premier temps de dérober cette base de données.
Et en suite, pas le choix, essayer de craquer les mot de passe avec ce qu’on appel la méthode « Bruteforce » qui comme son nom l’indique utilise la manière forte.

La façon la plus simple d’imaginer comment c’est fait, c’est la méthode originale :
On va tester absolument tout les caractères un par un jusqu’à trouver le bon.
Ça veux dire, on essaye de générer des code de 0 jusqu’à 1, de a jusqu’à z et de A jusqu’à Z, puis si rien n’est trouver, un fait rajoute un caractère, donc 0 1 2 3… 9 a b c… z A B C… Z 00 01 02… 09 0a 0b…0z 0A 0B… 0Z, puis 10 11 12…19 1A etc.
Cette méthode peux prendre énormément de temps, et c’est justement sur ça que la sécurité des mot de passe joue.
Enfin ça c’est la version simple, car il faut rajouter les symboles tel que @ ç % $ etc, et les lettre spéciales tel que À ou Ç ou encore Ê ou ê qui ne se trouvent pas sur les claviers, mais également les lettre d’autre alphabets.
Sauf que, pourquoi s’embêter à essayer pleins de combinaisons alors que justement, comme l’article le précise, beaucoup utilisent des mot de passe simple tel que password ou qwerty.

C’est justement là que les piratent ont fait preuve d’inventivité, ainsi, ils ont des catalogues, régulièrement mis à jour, contenant touts les mots de passe fréquemment utilisé, tel que password ou 12345 qui vont faire partie des tout premier à être tester, et ne pensez pas que utilisé Password ou pas$word ou password1 est une bonne idée, car justement ce genre de variations c’est également la première chose que ces méthode de bruteforce font essayer.
Une fois les mot de passe populaire et leur variations essayer, c’est la vieille méthode qui va être reprise.

Seulement le temps que ça prend devient exponentiel par caractère ajouter.
Une image posté sur le Twitter de la Gendarmerie des Vosges :


On peut y voir les différent temps que ça prend pour craquer des mot de passe selon leur complexité.

Pour aller plus loin, il y a pas très longtemps, par là j’entend quelques années, on a commencé à rendre populaire une autre forme de mot de passe à base de mots et sous forme de phrase, par exemple VacheLacArbreVoiture et est proche de la mnémotechnique, qui est difficile pour les ordinateurs à craquer et facile à retenir, car avant ça, on devait se rappeler de choses tel que !TKB10b8 pour tel site et 4$1eQ$oH pour un autre par exemple, mais c’est assez court et comme en témoigne l’image que j’ai poster, c’est pas forcément suffisant pour se protéger.
Et c’est là que les pirates ont encore fait preuve de créativité, en effet, ça parait difficile à craquer, jusqu’à ce qu’on se rendent compte que le nombre de mot est limité, certains sont beaucoup plus utilisé que d’autre, et que certaines combinaisons sont fréquentes, ainsi, un autre catalogue est née, et il n’a pas fallu longtemps pour qu’il prenne également en compte les variations, rendant un mot de passe de ce type avec 20 caractère largement plus facile à craquer que 20 caractères, même que minuscule ou majuscule.

Voila pourquoi avoir un mot de passe compliqué ET long est la méthode la plus sécurisé, enfin à la conditions que ce soit par comptes.
Car il suffit qu’il soit craquer qu’une seule fois, et c’est pas les failles qui manque entre keyloggers (logiciels espion qui enregistre les frappe clavier, surtout pour les info bancaire mais également les mot de passe) et le phishing (faux site qui ressemble au vrais pour que vous y rentrez vos identifiant, qui seront transmit au pirates).
Voila pourquoi, soit les noté sur un papier/carnet (que si on fait confiance à ses proches) ou utiliser un gestionnaire de mot de passe est la meilleur solution à moins d’avoir une mémoire parfaite.

Clubic à déjà fait un article sur le sujet :

Avant j’étais sur Dashlane mais je suis passé sur LastPass, et je confirme que le générateur de mot de passes de Dashlane est super, celui de LastPass manque cruellement de caractère spéciaux, je modifie souvent ce qu’il génère.

Bref, Pavé César.
PS : Désoler pour l’orthographe et la grammaire.

13 J'aimes

À quoi bon générer des mots de passe forts si NordPass peut les lire sans problème…

2 J'aimes

Personnellement, j’utilise un gestionnaire de mots de passe, hors ligne (Keepass).
Au moins, pas de risque que le service de stockage des mots de passe se fasse voler les fichiers …
Bon, d’accord, il faut éviter de chopper un keylogger ou autre troyen … ane

Ouais, enfin, la sécurité globale de ce processus dépend quand même de la fonction de hashage (certaines, comme MD5 sont vulnérables), mais également de l’ajout ou non d’un « sel ».

https://fr.wikipedia.org/wiki/Fonction_de_hachage#Contrôle_d’accès

Il existe des techniques qui dérivent de celle-ci et qui consiste à avoir une méthode manuelle de génération de mot de passe, exemple :

Force brute.
Après, il existe plein de technique d’attaque, par dictionnaire, compromis temps-mémoire, tables arc-en ciel, etc …

Personnellement, vu que niveau mot de passe, je suis un peu parano, je gère ça avec un gestionnaire hors ligne et je gère moi-même la sauvegarde / réplication sur les plusieurs périphériques.

1 J'aime

Très bonne reprise de mon commentaire :ok_hand::blush::+1:

Avant de découvrir les gestionnaire de mot de passe, il y a environ 5 ans ou plus, j’avais en tête de faire mon propre logiciel hors ligne (pour usage perso) qui mélangerais un mot de passe maître, nom du site et pseudo pour générer des mot de passes, avec pour seule « contrainte » une liste de règles pour les sites n’acceptant que n nombre de caractères et étant limité avec X ou Y caractères spéciaux, l’idée c’était que même sur mon propre ordi je ne faisait pas confiance au fait de stocker les mot de passes, un fichier encrypté serrait vulnérable si on venais à décompiler mon logiciel, surtout qu’à cette époque le seul language que je connaissais assez pour faire ça aurait était VB.NET et qu’il est très facile à analyser le code des programmes en ce language, et un keylogger pourrait facilement compromettre mon mot de passe maître.
J’avais donc pour idée de le renforcer par des système visuels pour le mot de passe, un peux du type captcha, avec des folies tel qu’utiliser différemment la souris (vélocité vs position) et autre pour rendre la tache encore plus difficile.
Mais comme d’habitude j’ai procrastiner alors je ne l’ai jamais fait ! xD
Mon ordi est pleins de projects à peine commencé et jamais fini, ou de logiciels totalement inutile fini…Par ce que cerveau😂 !

Je suis d’accord et je fais moi même difficilement confiance au gestionnaires de mot de passe, mais je pense que pour la plupart des gens qui ne voudraient pas du manque de praticité d’un gestionnaire hors ligne, ça reste largement plus sécurisé que des mots de passe trop simple ou réutilisé.
Et au final j’ai passé le pas car la synchro entre appareils rend la chose pratique malgré les faiblesses que ça ouvre.
Puis c’est peut-être le dernier logiciel avec lequel les dévs ont intérêt à faire des magouilles, car si ils perdent la confiance des gens, ils pourraient ne jamais la regagner.

1 J'aime

J’utilise KeepassXC et le plugin KeePassXC-Browser pour Firefox et ça baigne.

1 J'aime

(Bravo pour votre long commentaire précis et détaillé et j’ai appris que mon système de mot de passe est craquable en 5 ans, ce taux de faiblesse est acceptable, me Voilà rassuré :relieved:)

Déjà vu la quantité de mdp de chacun, la mémoire parfaite on oublie.:blush:

C’est un maronnier ces articles qui insiste sur la faiblesse des mdp et culpabilise à mort l’internaute de base.
Le problème ne vient pas d’une « mauvaise habitude » mais juste d’une impossibilité humaine.
Plusieurs sources estiment qu’en 2020 un utilisateur moyen doit gérer 184 mots de passe. Autant dire que ça dépasse la capacité de mémorisation humaine.

Les services informatiques des boîtes se plaignent que les salariés collent des mots de passe trop simple et répétitif sans paraître comprendre qu’on a pas vraiment le choix.
Je me bagarre dans ma societé pour faire installer des gestionnaires de mot de passe sur les postes, ou du multi factoriel, ou du biométrique parce qu’il est juste aberrant d’exiger des salariés qu’ils mémorisent des mdp complexes, qui plus est doivent être changer régulièrement. Donc les stratégies de contournement sont nombreuses dans l’hypocrisie générale.

Si le mdp est le talon d’Achille de la cyber sécurité il serait temps de passer à des outils qui ne repose pas uniquement sur une incapacité humaine.

5 J'aimes

Et du coup, on n a droit qu’a six chiffres pour sécuriser nos comptes bancaires…
C’est cohérent… :-/

2 J'aimes

pourtant la biométrie est là…

@cyrano66
Merci, par contre ça dépend, si un hacker s’amuse à forcer un supercalculateur à faire le boulot à sa place (c’est du déjà vue, pas forcément commun mais ça arrive de temps en temps), ou utilise des botnet, ça peux devenir largement plus rapide.
Certaines personnes ont une mémoire incroyable et sont capable de faire ça, mais c’est très très rare, m’enfin je disais surtout ça de façon humoristique.

Mais oui, c’est une vrais horreur, je me rappel quand j’étais jeune et que j’utiliser une variation du même mot de passe partout, même là c’était galère savoir sur quel site j’avais quelle variation…

@iksess
En fait, c’est l’exception qui confirme la règle, ils utilisent des clavier virtuel dont les chiffres changent aléatoirement de position, le but est d’empêcher les keylogger enregistrant les frappes clavier, mais également empêcher les keylogger avancé qui enregistrent la position du curseur à chaque cliques.
Donc il faudrait que le keylogger prennent également un screenshot pour réussir à faire ça, là c’est déjà un gros keylogger plus susceptible de se faire détecter à cause de son comportement.
Et les base de données des banques sont extremeness sécurisé, sinon on pourrait aller modifier le montant dans nos compte en banque :joy:

@philumax
Le problème de la biométrie c’est la vie privée, et où on va stocker les données, puis la biométrie actuelle est loin d’être suffisante.
Très peux de smartphones Android utilisent de la reconnaissance faciale en 3D, et dans ceux qui le font, pas mal utilisent les capteur ToF bien moins précis que les Structured Light comme les iPhones ou Pixel 4/4XL, ou encore Oppo Find X.
Et les capteur d’empreintes ne sont pas si exceptionnel, surtout avec les capteur optique sous l’écran étant très populaire et pourtant très peux fiable, une simple photo peux les trompé, et avec les gens étrangement repoussé par la reconnaissance faciale 3D et ne voulant pas de capteur ultrasonique car ils pensent que la mauvaise implémentation de Samsung d’un seul modèle (le premier du genre sur smartphone) et ayant volontairement refusé de prendre la seconde génération représente la capacité de cette technologie, alors qu’ils l’utilisent surement pas 10% du potentiel.

1 J'aime

En effet, il convient de se demander si le risque est acceptable ou non.
Pour moi, c’est non, mais c’est une vision très personnelle de l’affaire.

Peut-être, en attendant, le site est en ligne et est exposé. Et rien ne me garanti que toutes les précautions sont effectivement prises. Les « fuites » de données sont tellement monnaie courante que je préfère éviter de stocker mes mots de passe en ligne.
J’ai bien conscience que j’utilise du coup une solution moins pratique, mais globalement je ne créé pas des comptes tous les quatre matins.
Et je préfère sacrifier de la praticité et conserver la maitrise de la gestion / stockage de ce type de données. Après, cela implique aussi des responsabilité (notamment de la sauvegarde, parce que si le fichier de mots de passe devait être corrompu ou disparaitre, je me retrouverais bien dans l’embarras …
Et je sais bien également que beaucoup de gens ne veulent pas s’encombrer avec une contrainte supplémentaire de ce genre (ce que je comprends) et préfèrent que la gestion des mots de passe ne leur incombe pas.

Je passe que c’est surtout une question de vision, mais également de prise de conscience de ce que peut impliquer un piratage ou une fuite de données à ce niveau là.

J’avoue que face à la multitude des comptes, je m’y perd parfois. J’utilise un mot de passe différent pour chaque site important.
J’hésite vraiment à passer par un gestionnaire de mot de passe, mais peut on réellement leur faire confiance ?

Mouais, un gestionnaire de mots de passe qui les collectionne et les compte sur le cloud, voila qui n’est ni très ragoutant ni sérieusement recommandable. Keepass est gratuit et ne fait pas ce genre de chose

Le responsable en sécurité que je suis, approuve à 100% ce commentaire et même encourage clubic à en faire un article à part entière.
Car en 2020 les plus grosses failles de sécurité sont les utilisateurs eux-même en faisant ce qu’on appel du « Social Engineering » et ce genre de sensibilisation est autant efficace que l’investissement à plusieurs dizaines de milliers d’euros dans des outils et infrastructure pour la sécurité.
80% des points d’entrée des ransonware en 2020 passe par des failles RDP de réseau associé à du Social Engineering.

1 J'aime

Perso, le serveur Bitwarden (OpenSource) avec installé sur mon Syno (dans un conteneur Docker) allie pour moi le meilleur des deux : pas de stockage cloud et la facilité d’utilisation et gestion du multi-périphériques.

1 J'aime

Moi je pense sincèrement que ses les 2 a la fois

« dressé par le gestionnaire NordPass »

Y’a que moi que ca choque ?

Comment ils stockent leurs mot de passe pour pouvoir les extraires ??