Voici la liste des 200 mots de passe les plus utilisés en 2020 (et c'est le désarroi)

19 novembre 2020 à 19h00
32
Password secure © Adobe Stock

Il y a des (mauvaises) habitudes qui ne changent pas. Selon le classement annuel des mots de passe les plus utilisés, dressé par le gestionnaire NordPass, on retrouve sans surprise les sempiternels « 123456 » et « 123456789 » en haut du classement… comme c'est le cas depuis 2013.

On retrouve des thématiques particulièrement récurrentes comme les suites de chiffres, mais aussi des marques d'appareils électroniques ou de licences de jeux.

Les mauvaises habitudes des internautes

Le gestionnaire de mots de passe NordPass vient de publier la liste des 200 mots de passe les plus courants sur Internet. Cette liste a été dressée en analysant le contenu de bases de données compromises cette année, soit environ 275 millions de mots de passe au total.

Comme chaque année depuis 2013, à quelques exceptions près, le mot de passe « 123456 » truste le haut du classement. Ce mot de passe a été ainsi retrouvé plus de 2,5 millions de fois dans les bases scannées par NordPass ! On retrouve dans le top 10 sa suite logique (« 123456789 ») mais aussi « password », « 111111 », « qwerty » ou encore « abc123 ». Nouvel arrivant dans le classement : « picture1 », qui a été repéré 371 612 fois dans le base de données analysée.

D'après NordPass, les internautes utilisent ce genre de mots de passe pour s'en souvenir facilement. Le gestionnaire dresse ainsi 12 catégories de mots de passes liés à des thématiques populaires que les internautes utilisent énormément : les nombres, les appareils électroniques (« samsung », « computer »), les suites de lettres ou encore les licences populaires de films et jeux vidéo (« pokemon », « naruto », « starwars »….).

Le groupe One Direction exclu du classement

Dans cette liste de plus de 275 millions de mots de passe, seuls 44 % étaient uniques, note NordPass. Ce « palmarès » permet également de repérer les allées et venues de certains effets de mode : ainsi, si l'année dernière le mot de passe « onedirection » se hissait à la 184e place des identifiants les plus utilisés, il a été cette année éjecté du classement. Est-ce que le groupe a perdu en popularité, ou est-ce que ses fans ont acquis une meilleure conscience cybernétique ? C'est la question posée par NordPass. Vous avez quatre heures.

A toutes fins utiles, rappelons que pour créer un mot de passe fort, mieux vaut éviter les caractères qui se suivent sur un clavier, les mots courants et les suites de chiffres. Privilégiez des termes complexes mêlant chiffres, lettres, majuscules et minuscules. De même, changez-les régulièrement (tous les 90 jours, selon NordPass) et n'utilisez pas le même mot de passe sur tous vos comptes en ligne.

Source : NordPass

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
32
29
jvachez
Après maintenant il faut créer des comptes pour à peu près n’importe quoi, on comprend que les gens ne veulent pas se compliquer la vie.<br /> Il faudrait faire l’analyse sur des sites vraiment importants, genre avec des numéros de CB stockés.
buitonio
C’est si facile de générer des mots de passe forts avec un gestionnaire de mots de passe, mais soit les gens ne savent pas que ça existe, soit ils sont trop fainéants pour en utiliser un.
MattS32
Ce qui compte, ce n’est pas vraiment la liste des mots de passe les plus utilisés, ce serait plutôt de savoir quelle est la proportion de comptes les utilisant.<br /> Parce que forcément, ces mots de passe faciles, ils resteront toujours les plus utilisés, puisque par définition un bon mot de passes est unique, donc peu utilisé…<br /> Mais si le top 10 des mots de passe couvre 0.1% des comptes, ce n’est pas pareil que s’il en couvre 10%…<br /> Le mot de passe le plus utilisé était utilisé 2.5 millions de fois sur 275 millions, ça ne fait donc que 1% (et encore, y a un truc pas clair : les 275 millions, c’est le nombre de mots de passe différents sur une liste de &gt; 275 millions de mots de passe, ou bien c’est la taille de la liste complète avec doublons ?).
Demongornot
C’est pour ça que la meilleur chose à faire de nos jours c’est d’utiliser des gestionnaire de mot de passe et de ne pas hésiter à mettre des mot de passe très complexes et long.<br /> Pour ceux qui voudraient savoir le pourquoi du comment, voici une explication :<br /> Lors ce que vous entrez un mot de passe que ce soit pour créer un compte ou vous connecter, le site ne va en aucun cas, sauf pour les sites trop amateurs, stocker le mot de passe «&nbsp;en clair&nbsp;», ce qui signifie sans chiffrement.<br /> Ce qui va ce passer c’est que votre mot de passe va être transformer, une procédure qu’on appel Hashing, c’est une transformation qui ne peux absolument pas être fait en sens inverse avec quelque clef que ce soit.<br /> D’ailleurs la majorité des sites vont mélanger votre nom d’utilisateur/adresse email et votre mot de passe ce qui rend la chose plus compliqué, et qui est, entre autre, la raison pour laquelle on ne précise pas si c’est le nom d’utilisateur/adresse email et/ou votre pseudo sont incorrect.<br /> Le site lui contiens une liste de ces clef hashé, et si vous rentrez la bonne combinaison pseudo/mot de passe, alors ça correspond à ce qui ce trouve sur le site et vous pouvez vous connecté.<br /> À ce moment là, vous obtenez un cookie , c’est le nom d’un fichier qui se loge dans votre navigateur et contient des informations, tel que la «&nbsp;session&nbsp;», en effet, un site n’as pas vraiment de moyen de savoir si c’est toujours vous lors ce que vous rafraîchissez/changer la page, et plutôt que de se connecter à chaque fois, un cookie sert à maintenir votre connexion active.<br /> À partir de là, deux informations sont à prendre en compte, le niveau de sécurité du code de hashage, et la complexité de votre mot de passe, pourquoi ?<br /> Et bien, grace au fait que seul les code hashé sont stocker sur les serveurs, la seul façon pour voler votre mot de passe depuis le site, c’est dans un premier temps de dérober cette base de données.<br /> Et en suite, pas le choix, essayer de craquer les mot de passe avec ce qu’on appel la méthode «&nbsp;Bruteforce&nbsp;» qui comme son nom l’indique utilise la manière forte.<br /> La façon la plus simple d’imaginer comment c’est fait, c’est la méthode originale :<br /> On va tester absolument tout les caractères un par un jusqu’à trouver le bon.<br /> Ça veux dire, on essaye de générer des code de 0 jusqu’à 1, de a jusqu’à z et de A jusqu’à Z, puis si rien n’est trouver, un fait rajoute un caractère, donc 0 1 2 3… 9 a b c… z A B C… Z 00 01 02… 09 0a 0b…0z 0A 0B… 0Z, puis 10 11 12…19 1A etc.<br /> Cette méthode peux prendre énormément de temps, et c’est justement sur ça que la sécurité des mot de passe joue.<br /> Enfin ça c’est la version simple, car il faut rajouter les symboles tel que @ ç % $ etc, et les lettre spéciales tel que À ou Ç ou encore Ê ou ê qui ne se trouvent pas sur les claviers, mais également les lettre d’autre alphabets.<br /> Sauf que, pourquoi s’embêter à essayer pleins de combinaisons alors que justement, comme l’article le précise, beaucoup utilisent des mot de passe simple tel que password ou qwerty.<br /> C’est justement là que les piratent ont fait preuve d’inventivité, ainsi, ils ont des catalogues, régulièrement mis à jour, contenant touts les mots de passe fréquemment utilisé, tel que password ou 12345 qui vont faire partie des tout premier à être tester, et ne pensez pas que utilisé Password ou pas$word ou password1 est une bonne idée, car justement ce genre de variations c’est également la première chose que ces méthode de bruteforce font essayer.<br /> Une fois les mot de passe populaire et leur variations essayer, c’est la vieille méthode qui va être reprise.<br /> Seulement le temps que ça prend devient exponentiel par caractère ajouter.<br /> Une image posté sur le Twitter de la Gendarmerie des Vosges :<br /> twitter.com<br /> 88 - Gendarmerie des Vosges (Gendarmerie088)<br /> Petite idée du temps qu'il faut à un #hacker pour craquer votre #motdepasse. https://t.co/lJFOcbpnCM<br /> 6:07 AM - 8 Sep 2020<br /> 2.9K<br /> 1.8K<br /> 1088×592 99.3 KB<br /> On peut y voir les différent temps que ça prend pour craquer des mot de passe selon leur complexité.<br /> Pour aller plus loin, il y a pas très longtemps, par là j’entend quelques années, on a commencé à rendre populaire une autre forme de mot de passe à base de mots et sous forme de phrase, par exemple VacheLacArbreVoiture et est proche de la mnémotechnique, qui est difficile pour les ordinateurs à craquer et facile à retenir, car avant ça, on devait se rappeler de choses tel que !TKB10b8 pour tel site et 4$1eQ$oH pour un autre par exemple, mais c’est assez court et comme en témoigne l’image que j’ai poster, c’est pas forcément suffisant pour se protéger.<br /> Et c’est là que les pirates ont encore fait preuve de créativité, en effet, ça parait difficile à craquer, jusqu’à ce qu’on se rendent compte que le nombre de mot est limité, certains sont beaucoup plus utilisé que d’autre, et que certaines combinaisons sont fréquentes, ainsi, un autre catalogue est née, et il n’a pas fallu longtemps pour qu’il prenne également en compte les variations, rendant un mot de passe de ce type avec 20 caractère largement plus facile à craquer que 20 caractères, même que minuscule ou majuscule.<br /> Voila pourquoi avoir un mot de passe compliqué ET long est la méthode la plus sécurisé, enfin à la conditions que ce soit par comptes.<br /> Car il suffit qu’il soit craquer qu’une seule fois, et c’est pas les failles qui manque entre keyloggers (logiciels espion qui enregistre les frappe clavier, surtout pour les info bancaire mais également les mot de passe) et le phishing (faux site qui ressemble au vrais pour que vous y rentrez vos identifiant, qui seront transmit au pirates).<br /> Voila pourquoi, soit les noté sur un papier/carnet (que si on fait confiance à ses proches) ou utiliser un gestionnaire de mot de passe est la meilleur solution à moins d’avoir une mémoire parfaite.<br /> Clubic à déjà fait un article sur le sujet :<br /> Clubic.com – 18 Nov 20<br /> Meilleur gestionnaire mot de passe Windows: Comparatif 2020<br /> Clubic compare de manière indépendante et objective les 3 meilleurs gestionnaires de mots de passe. Cliquez pour en savoir plus.<br /> Avant j’étais sur Dashlane mais je suis passé sur LastPass, et je confirme que le générateur de mot de passes de Dashlane est super, celui de LastPass manque cruellement de caractère spéciaux, je modifie souvent ce qu’il génère.<br /> Bref, Pavé César.<br /> PS : Désoler pour l’orthographe et la grammaire.
Bombing_Basta
À quoi bon générer des mots de passe forts si NordPass peut les lire sans problème…
juju251
Bombing_Basta:<br /> À quoi bon générer des mots de passe forts si NordPass peut les lire sans problème…<br /> Personnellement, j’utilise un gestionnaire de mots de passe, hors ligne (Keepass).<br /> Au moins, pas de risque que le service de stockage des mots de passe se fasse voler les fichiers …<br /> Bon, d’accord, il faut éviter de chopper un keylogger ou autre troyen … <br /> Demongornot:<br /> Ce qui va ce passer c’est que votre mot de passe va être transformer, une procédure qu’on appel Hashing, c’est une transformation qui ne peux absolument pas être fait en sens inverse avec quelque clef que ce soit.<br /> Ouais, enfin, la sécurité globale de ce processus dépend quand même de la fonction de hashage (certaines, comme MD5 sont vulnérables), mais également de l’ajout ou non d’un «&nbsp;sel&nbsp;».<br /> https://fr.wikipedia.org/wiki/Fonction_de_hachage#Contrôle_d’accès<br /> Demongornot:<br /> Pour aller plus loin, il y a pas très longtemps, par là j’entend quelques années, on a commencé à rendre populaire une autre forme de mot de passe à base de mots et sous forme de phrase, par exemple VacheLacArbreVoiture et est proche de la mnémotechnique, qui est difficile pour les ordinateurs à craquer et facile à retenir, car avant ça, on devait se rappeler de choses tel que !TKB10b8 pour tel site et 4$1eQ$oH pour un autre par exemple, mais c’est assez court et comme en témoigne l’image que j’ai poster, c’est pas forcément suffisant pour se protéger. […]<br /> Il existe des techniques qui dérivent de celle-ci et qui consiste à avoir une méthode manuelle de génération de mot de passe, exemple :<br /> nextinpact.com – 1 Sep 16<br /> Choisir un bon mot de passe : les règles à connaître, les pièges à éviter<br /> Choisir un bon mot de passe n'est pas toujours simple, mais c'est un enjeu de sécurité toujours relativement important. Faut-il qu'il soit plutôt long ou qu'il contienne des caractères spéciaux ?&nbsp;Existe-t-il des techniques pour en...<br /> Demongornot:<br /> La façon la plus simple d’imaginer comment c’est fait, c’est la méthode originale :<br /> Force brute.<br /> Après, il existe plein de technique d’attaque, par dictionnaire, compromis temps-mémoire, tables arc-en ciel, etc …<br /> Demongornot:<br /> Voila pourquoi, soit les noté sur un papier/carnet (que si on fait confiance à ses proches) ou utiliser un gestionnaire de mot de passe est la meilleur solution à moins d’avoir une mémoire parfaite.<br /> Personnellement, vu que niveau mot de passe, je suis un peu parano, je gère ça avec un gestionnaire hors ligne et je gère moi-même la sauvegarde / réplication sur les plusieurs périphériques.
Demongornot
Très bonne reprise de mon commentaire <br /> Avant de découvrir les gestionnaire de mot de passe, il y a environ 5 ans ou plus, j’avais en tête de faire mon propre logiciel hors ligne (pour usage perso) qui mélangerais un mot de passe maître, nom du site et pseudo pour générer des mot de passes, avec pour seule «&nbsp;contrainte&nbsp;» une liste de règles pour les sites n’acceptant que n nombre de caractères et étant limité avec X ou Y caractères spéciaux, l’idée c’était que même sur mon propre ordi je ne faisait pas confiance au fait de stocker les mot de passes, un fichier encrypté serrait vulnérable si on venais à décompiler mon logiciel, surtout qu’à cette époque le seul language que je connaissais assez pour faire ça aurait était VB.NET et qu’il est très facile à analyser le code des programmes en ce language, et un keylogger pourrait facilement compromettre mon mot de passe maître.<br /> J’avais donc pour idée de le renforcer par des système visuels pour le mot de passe, un peux du type captcha, avec des folies tel qu’utiliser différemment la souris (vélocité vs position) et autre pour rendre la tache encore plus difficile.<br /> Mais comme d’habitude j’ai procrastiner alors je ne l’ai jamais fait ! xD<br /> Mon ordi est pleins de projects à peine commencé et jamais fini, ou de logiciels totalement inutile fini…Par ce que cerveau😂 !<br /> Je suis d’accord et je fais moi même difficilement confiance au gestionnaires de mot de passe, mais je pense que pour la plupart des gens qui ne voudraient pas du manque de praticité d’un gestionnaire hors ligne, ça reste largement plus sécurisé que des mots de passe trop simple ou réutilisé.<br /> Et au final j’ai passé le pas car la synchro entre appareils rend la chose pratique malgré les faiblesses que ça ouvre.<br /> Puis c’est peut-être le dernier logiciel avec lequel les dévs ont intérêt à faire des magouilles, car si ils perdent la confiance des gens, ils pourraient ne jamais la regagner.
Tux-LSDM
J’utilise KeepassXC et le plugin KeePassXC-Browser pour Firefox et ça baigne.
cyrano66
(Bravo pour votre long commentaire précis et détaillé et j’ai appris que mon système de mot de passe est craquable en 5 ans, ce taux de faiblesse est acceptable, me Voilà rassuré )<br /> Demongornot:<br /> Voila pourquoi, soit les noté sur un papier/carnet (que si on fait confiance à ses proches) ou utiliser un gestionnaire de mot de passe est la meilleur solution à moins d’avoir une mémoire parfaite.<br /> Déjà vu la quantité de mdp de chacun, la mémoire parfaite on oublie.<br /> C’est un maronnier ces articles qui insiste sur la faiblesse des mdp et culpabilise à mort l’internaute de base.<br /> Le problème ne vient pas d’une « mauvaise habitude » mais juste d’une impossibilité humaine.<br /> Plusieurs sources estiment qu’en 2020 un utilisateur moyen doit gérer 184 mots de passe. Autant dire que ça dépasse la capacité de mémorisation humaine.<br /> Les services informatiques des boîtes se plaignent que les salariés collent des mots de passe trop simple et répétitif sans paraître comprendre qu’on a pas vraiment le choix.<br /> Je me bagarre dans ma societé pour faire installer des gestionnaires de mot de passe sur les postes, ou du multi factoriel, ou du biométrique parce qu’il est juste aberrant d’exiger des salariés qu’ils mémorisent des mdp complexes, qui plus est doivent être changer régulièrement. Donc les stratégies de contournement sont nombreuses dans l’hypocrisie générale.<br /> Si le mdp est le talon d’Achille de la cyber sécurité il serait temps de passer à des outils qui ne repose pas uniquement sur une incapacité humaine.
iksess
Et du coup, on n a droit qu’a six chiffres pour sécuriser nos comptes bancaires…<br /> C’est cohérent… :-/
philumax
pourtant la biométrie est là…
Demongornot
@cyrano66<br /> Merci, par contre ça dépend, si un hacker s’amuse à forcer un supercalculateur à faire le boulot à sa place (c’est du déjà vue, pas forcément commun mais ça arrive de temps en temps), ou utilise des botnet, ça peux devenir largement plus rapide.<br /> Certaines personnes ont une mémoire incroyable et sont capable de faire ça, mais c’est très très rare, m’enfin je disais surtout ça de façon humoristique.<br /> Mais oui, c’est une vrais horreur, je me rappel quand j’étais jeune et que j’utiliser une variation du même mot de passe partout, même là c’était galère savoir sur quel site j’avais quelle variation…<br /> @iksess<br /> En fait, c’est l’exception qui confirme la règle, ils utilisent des clavier virtuel dont les chiffres changent aléatoirement de position, le but est d’empêcher les keylogger enregistrant les frappes clavier, mais également empêcher les keylogger avancé qui enregistrent la position du curseur à chaque cliques.<br /> Donc il faudrait que le keylogger prennent également un screenshot pour réussir à faire ça, là c’est déjà un gros keylogger plus susceptible de se faire détecter à cause de son comportement.<br /> Et les base de données des banques sont extremeness sécurisé, sinon on pourrait aller modifier le montant dans nos compte en banque <br /> @philumax<br /> Le problème de la biométrie c’est la vie privée, et où on va stocker les données, puis la biométrie actuelle est loin d’être suffisante.<br /> Très peux de smartphones Android utilisent de la reconnaissance faciale en 3D, et dans ceux qui le font, pas mal utilisent les capteur ToF bien moins précis que les Structured Light comme les iPhones ou Pixel 4/4XL, ou encore Oppo Find X.<br /> Et les capteur d’empreintes ne sont pas si exceptionnel, surtout avec les capteur optique sous l’écran étant très populaire et pourtant très peux fiable, une simple photo peux les trompé, et avec les gens étrangement repoussé par la reconnaissance faciale 3D et ne voulant pas de capteur ultrasonique car ils pensent que la mauvaise implémentation de Samsung d’un seul modèle (le premier du genre sur smartphone) et ayant volontairement refusé de prendre la seconde génération représente la capacité de cette technologie, alors qu’ils l’utilisent surement pas 10% du potentiel.
juju251
Demongornot:<br /> Et au final j’ai passé le pas car la synchro entre appareils rend la chose pratique malgré les faiblesses que ça ouvre.<br /> En effet, il convient de se demander si le risque est acceptable ou non.<br /> Pour moi, c’est non, mais c’est une vision très personnelle de l’affaire.<br /> Demongornot:<br /> Puis c’est peut-être le dernier logiciel avec lequel les dévs ont intérêt à faire des magouilles, car si ils perdent la confiance des gens, ils pourraient ne jamais la regagner.<br /> Peut-être, en attendant, le site est en ligne et est exposé. Et rien ne me garanti que toutes les précautions sont effectivement prises. Les «&nbsp;fuites&nbsp;» de données sont tellement monnaie courante que je préfère éviter de stocker mes mots de passe en ligne.<br /> J’ai bien conscience que j’utilise du coup une solution moins pratique, mais globalement je ne créé pas des comptes tous les quatre matins.<br /> Et je préfère sacrifier de la praticité et conserver la maitrise de la gestion / stockage de ce type de données. Après, cela implique aussi des responsabilité (notamment de la sauvegarde, parce que si le fichier de mots de passe devait être corrompu ou disparaitre, je me retrouverais bien dans l’embarras …<br /> Et je sais bien également que beaucoup de gens ne veulent pas s’encombrer avec une contrainte supplémentaire de ce genre (ce que je comprends) et préfèrent que la gestion des mots de passe ne leur incombe pas.<br /> Je passe que c’est surtout une question de vision, mais également de prise de conscience de ce que peut impliquer un piratage ou une fuite de données à ce niveau là.
thunderboy
J’avoue que face à la multitude des comptes, je m’y perd parfois. J’utilise un mot de passe différent pour chaque site important.<br /> J’hésite vraiment à passer par un gestionnaire de mot de passe, mais peut on réellement leur faire confiance ?
Brobok
Mouais, un gestionnaire de mots de passe qui les collectionne et les compte sur le cloud, voila qui n’est ni très ragoutant ni sérieusement recommandable. Keepass est gratuit et ne fait pas ce genre de chose
BBlake
Le responsable en sécurité que je suis, approuve à 100% ce commentaire et même encourage clubic à en faire un article à part entière.<br /> Car en 2020 les plus grosses failles de sécurité sont les utilisateurs eux-même en faisant ce qu’on appel du «&nbsp;Social Engineering&nbsp;» et ce genre de sensibilisation est autant efficace que l’investissement à plusieurs dizaines de milliers d’euros dans des outils et infrastructure pour la sécurité.<br /> 80% des points d’entrée des ransonware en 2020 passe par des failles RDP de réseau associé à du Social Engineering.
Ket123
Perso, le serveur Bitwarden (OpenSource) avec installé sur mon Syno (dans un conteneur Docker) allie pour moi le meilleur des deux : pas de stockage cloud et la facilité d’utilisation et gestion du multi-périphériques.
Elgitano64
Moi je pense sincèrement que ses les 2 a la fois
Moonshine_Lunah
«&nbsp;dressé par le gestionnaire NordPass&nbsp;»<br /> Y’a que moi que ca choque ?<br /> Comment ils stockent leurs mot de passe pour pouvoir les extraires ??
Moonshine_Lunah
Gros +1 pour bitwarden en instance local.<br /> Tout le monde n’a pas de NAS Synology par contre…<br /> La solution la plus simple c’est de prendre un raspberry pi, encore faut il avoir des connaissances réseau efficace et beaucoup de patience
FoxLeGoupil
Ah bon ??? dans ma banque c’est 5 !!! Il y a des privilégiés à ce que je vois !
Dahita
«&nbsp;Cette liste a été dressée en analysant le contenu de bases de données compromises cette année, soit environ 275 millions de mots de passe au total&nbsp;»<br /> L’honneur est sauf ^^
Jetto
La mauvaise habitude c’est de continuer à faire reposer l’authentification sur le partage d’un secret.<br /> On a juste besoin pour être identifié de prouver que l’on possède quelque chose ou que l’on connaît un secret.<br /> On sait maintenant prouver que l’on connaît un secret sans le partager, mais en fournissant une preuve vérifiable.<br /> Exemple simpliste (et inefficace et dangereux ) : dans un système a clés publique avec signature, vous générez une pair de clés et publiez la clé public. Vous demandez a vous identifier sur un site. Ce site vous envoie un message aléatoire, vous signez ce message avec la clé secrète (le danger est que vous signiez un message que vous ne maîtrisez pas) et le renvoyez. Le serveur vérifie la signature avec la clé public. Si la vérification est bonne il a la preuve que vous êtes en possession du secret et vous êtes identifié.
Asakha1
Je ne sais pas en France, mais pour mon compte au Québec, ma banque ne demande qu’un NIP à 6 chiffres, et une question personnelle (facultative si je coche une case). On repassera pour la sécurité de ce point de vue ! La seule protection supplémentaire, le compte se verrouille après 3 mauvaises tentatives. Et c’est peut-être ça qui devrait être implanter sur les sites. 3 essais, et il devient impossible de réessayer avant un certain délai.
TRENNEDNAME
J’utilise le gestionnaire de Google pour les mots de passe, qu’en pensez vous ?
Synthox
Ce qui est rassurant, c’est que ‹&nbsp;123456&nbsp;› ne marche pas pour une banque <br /> Mais sinon oui ça m’a toujours fait rire ces mdp qu’avec 6 chiffres… (ou moins !)
Feunoir
Comme dit dans l’article, ils utilisent les listes trouvables dans le dark web ou en ailleurs, qui listent les couples compte/password de sites piratés.<br /> Par contre, là ou il y a un biais dans la methode c’est que probablement les password ont plusieurs année d’existence même si la liste est 2020.<br /> L’année dernière j’ai recu un mail de menace en anglais «&nbsp;toi visite site porno, ta webcam t’a filmé, file moi des bitcoins, sinon…&nbsp;» avec comme super preuve un de mes password. Bon j’ai jamais eu de webcam et le password s’il est vrai je l’utilisais vers 2008 (avant mon passage sur keepass il y a qq année car effectivement cela devenait ingérable tous ces sites)<br /> Ce couple compte(mon email)/mot de passe a été ajouté dans une megaliste peu avant ça apriori , bonjour la fraicheur
MattS32
NordPass ne peut pas lire les mots de passe qu’on stocke dans leur gestionnaire.<br /> Leurs stats sur la fréquence des mots de passe, ils ne les font pas sur les mots de passe de leurs utilisateurs, ils le font sur les liste de mots de passe leakés suite à des piratages de différents services.
MattS32
Outre le fait que les mots de passe peuvent être plus anciens, il y a aussi un autre biais : ils viennent sans doute principalement de sites peu importants.<br /> Il y a plus de chances que les mots de passe de ces liste viennent de la base du forum des cueilleurs de champignons de Triffouilli-les-Oies que de Google.<br /> Or il y a beaucoup de gens qui adaptent la sécurité du mot de passe à l’importance du site… Perso, sur Google, j’ai une passphrase de plus de 30 caractères. Mais sur certains sites où je me suis juste inscrit parce que tel ou tel contenu était réservé aux inscrits, et où je n’ai rentré aucune donnée personnelle, ça m’est arrivé un paquet de fois de créer un compte avec un boîte yopmail en identifiant et azertyuiop en mot de passe… Sans pour autant prendre un quelconque risque, puisque c’est un compte «&nbsp;poubelle&nbsp;».
orionb1
très juste, sur les sites que j’estime peu fiables, je mets un mot de passe peu sécurisé<br /> sinon, la seule manière de protéger vraiment contre la force brute, ce n’est pas côté utilisateur, c’est côté site<br /> si vous bloquez le compte après X tentatives …<br /> ou si vous forcez un temps d’attente après chaque X tentative ratée, vous ne trouverez jamais le mot de passe
MattS32
Oui et non. Techniquement, si l’attaquant est à distance, l’attaque par force brute est déjà quasi impossible. Parce que même avec seulement quelques ms de latence réseau dans le meilleur des cas, ça limite quand même à moins de 1000 essais par seconde (et pas sûr non plus que le site lui même tienne un tel rythme…)… À ce train là, même un bête mot de passe alphanumérique de 6 caractères peut tenir plus de deux ans… Forcer un temps d’attente ou limiter le nombre d’essais, pour un site, c’est utile pour protéger les comptes les plus faibles contre les attaques par dictionnaires. Contre un bruteforce, ça ne changera pas grand chose.<br /> Ce qu’il se passe en général, c’est qu’une base de données est récupérée sur un site piraté, et ensuite le bruteforce est fait sur cette base (ce qui permet en plus, si la base utilise des hash sans sel ou avec un sel fixe, d’attaquer tous les comptes à la fois), sans passer par le site, puis les comptes ainsi trouvés sont testés sur d’autres sites.
lully07
Bonjour,<br /> Autre hypothèse ils n’ont pas confiance.
Voir tous les messages sur le forum

Derniers actualités

Chrome : Google annonce un mode économie d'énergie et de mémoire pour bientôt
Elon Musk a transformé des bureaux de Twitter en chambre... parce que le travail n'attend pas
Juste avant Noël, l'écran gamer Samsung Odyssey G3 chute à 145€
Le micro Trust Gaming GXT 258W Fyru est complètement bradé sur Amazon
Huawei Band 7 : le bracelet connecté chute à moins de 50€ juste avant Noël
Chez Twitter, Musk aurait fait renvoyer les femmes en priorité
Idéé cadeau : la liseuse Kobo Clara est 20€ moins chère pour Noël !
Idée cadeau | EcoSphere : un écosystème complet dans une sphère
La FTC porte plainte contre Microsoft dans le but de faire capoter le rachat d'Activision-Blizzard
USB-C obligatoire sur les smartphone : apparemment, rien ne presse pour l'UE...
Haut de page