Mots de passe les plus courants : les internautes ne comprendront-ils donc jamais ?

17 novembre 2021 à 15h30
28
mot de passe

Le classement 2021 des mots de passe les plus courants confirme ce que l'on craignait : encore beaucoup d'internautes ne prennent pas suffisamment au sérieux la sécurité de leurs comptes sur Internet.

NordPass , le gestionnaire de mots de passe à l'origine de NordVPN , a publié la liste des 200 mots de passe les plus utilisés. Et comme on pouvait s'y attendre, les passwords les plus populaires sont loin d'être les plus sécurisés.

La popularité de « 123456 » et « azerty » ne faiblit pas

Dans le monde et en France, les deux mots de passe les plus utilisés sont « 123456 » en première position et « 123456789 » en deuxième place. Rien que dans l'Hexagone, le premier cité a été recensé plus de 2 millions de fois. Cela fait de nombreuses années consécutives que « 123456 » est le mot de passe le plus utilisé .

Selon NordPass, un tel password peut être cracké en moins d'une seconde par un système automatisé. Et n'importe qui peut bien sûr tout simplement le deviner et le rentrer manuellement.

Pour la France, le top 5 est complété dans l'ordre par : « azerty », « 12345 » et « 000000 ». Curieusement, « qwerty », soit la disposition du clavier anglophone traditionnel, arrive à la septième position.

Il est temps d'utiliser un gestionnaire de mots de passe

Dans le top 10 des mots de passe les plus utilisés en France, seuls deux prennent plus d'une seconde à être craqués : « tiffany » (sixième) en 17 minutes et « marseille » (dixième) en un jour.

Dans la suite du classement, on retrouve énormément de prénoms, sans doute des parents qui utilisent celui de leurs enfants pour protéger (mal) leurs comptes en ligne. Des noms communs comme « maison », « dragon » ou « soleil » sont aussi fréquemment plébiscités, alors que le fameux « motdepasse » arrive en 22e position.

« x4ivygA51F » et « Bajaonel12 » sont les mots de passe les plus sécurisés du top 200. Il faut environ 12 jours pour les craquer.

Nous rappelons à nos lecteurs qu'il est primordial de choisir un mot de passe fort afin de protéger ses données en ligne et s'éviter des désagréments. Les gestionnaires de mots de passe sont un bon outil pour renforcer la sécurité tout en conservant une expérience utilisateur fluide.

Clubic compare de manière indépendante et objective les 3 meilleurs gestionnaires de mots de passe. Cliquez pour en savoir plus.
Lire la suite

Source : NordPass

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
28
23
BizBiz37
J’avais une ancienne pote … son mot de passe c’était son prénom et son nom à la suite … Niveau sécurité elle était totalement zéro… Elle cliquait dans des faux liens croyant que c’était sa banque, et elle s’était fait arnaqué de 1500 balles sur son compte, quand on est con … xD
Droz
Il faut surtout être fou pour laisser ses mots de passes à Nordpass qui s’empresse de les étudier, et de jouer avec, comme on peut le voir dans cette étude.<br /> C’est une question de confiance.<br /> Et ils se vantent d’avoir une architecture sans connaissance des données…<br /> https://support.nordpass.com/hc/en-us/articles/360002378858-What-is-a-zero-knowledge-architecture-<br /> Mais ça ne les empêche visiblement pas d’utiliser les données de leurs utilisateurs à des fins d’autopromotion, et en plus à leurs dépens. Regardez comme nos pigeons de clients sont cons avec leurs mots de passe pourris.
jvachez
En même temps on demande des mots de passe pour tellement de choses, on ne met des mots de passe compliqués que lorsque que c’est important ou parce que l’administrateur du site a la grosse tête en surestimant l’importance des comptes de son site ce qui arrive malheureusement de plus en plus souvent.
MisterDams
« x4ivygA51F » et « Bajaonel12 » sont les mots de passe les plus sécurisés du top 200. Il faut environ 12 jours pour les craquer.<br /> Euh, sympa de les diffuser du coup ? Ils vont vite chuter du classement <br /> Sinon, j’aimerais bien savoir si on se parle de mots de passe fréquemment utilisés ou juste enregistrés. Car on a tous dans nos sauvegardes de mots de passe des sites qu’on n’utilise plus depuis des années voire qu’on a utilisé qu’une fois… j’imagine que ça doit peser dans les résultats.<br /> Sinon, on peut rappeler qu’un mot de passe «&nbsp;Maison+Dragon+Soleil&nbsp;» reste quand même assez sécurisé par sa longueur, l’ordre des mots, les majuscules, le caractère spécial… et permet de s’en souvenir !
MisterDams
Avec la génération automatique, la synchro des mots de passe et les SSO, ça commence à être un peu plus facile d’avoir des accès protégés partout.<br /> Par contre, dès que t’es pas sur un de tes devices qui a accès à ton trousseau, tu réalises que tu connais plus aucun mot de passe, c’est gênant.<br /> Typiquement, sur mon PC de travail il m’arrive d’avoir besoin de me connecter à des comptes persos, pourtant j’ai pas trop envie d’y charger tout mes mots de passe.
blueamrtini
C’est exactement pour ça que je ne comprends pas l’attrait des gestionnaires de mots de passe. A titre personnel j’ai l’impression que le passphrase avec caractères spéciaux est la meilleure façon d’avoir un mot de passe sécurisé que l’on retient sans peine.
pocketalex
J’utilise un gestionnaire de mot de passe (un truc gratuit open source : Keepass) depuis environ 6 ans, et j’avoue avoir du mal à comprendre comment faire sans, sauf à entrer le même mot de passe partout, ou à utiliser des mots de passe simple<br /> Dans les deux cas les buts sont identiques : arriver à s’en souvenir, et, aussi, tout faire pour ouvrir la porte aux pirates<br /> J’essaie de convertir mon entourage à l’utilisation d’un gestionnaire, mais la résistance à cet usage est incroyable. Il faut que les gens se fassent pirater, voire dépouiller, pour comprendre. Et encore, même ceux à qui ça arrive refusent d’envisager la solution du gestionnaire<br /> Bref les pirates, même amateurs, ont de beaux jours devant eux<br /> PS : rien à voir mais un peu quand même, je viens d’attaquer la série Mr ROBOT sur Netflix. Formidable !
cwerle
Tout d’abord, afin qu’il n’y ait pas de malentendu, je sécurise à fond mes mots de passes.<br /> Donc si je prend la défense de l’utilisateur «&nbsp;lambda&nbsp;» ce n’est pas parce que moi-même j’ai ce genre de travers.<br /> Ceci dit, je suis tout de même stupéfait de la chasse aux sorcières non faites aux pirates, mais aux usagers.<br /> Si je m’en réfère à des façons de faire dans pleins de domaines, cela semble être la règle de s’en prendre aux victimes plutôt qu’aux agresseurs.<br /> Je me verrais mal invectiver une victime de viol car elle n’a pas fait attention à sa tenue, plutôt que de renforcer les outils pour empêcher que cela se produise.<br /> Cela n’enlève pas la prévention personnelle, mais il ne faudrait pas se tromper de coupables.<br /> Les fameux gestionnaires de mot de passe, ne sont pour moi, pas une garantie de sécurité.<br /> Quand ils sont locaux il faut faire attention d’avoir une sauvegarde de la config car si on doit changer ou formater son ordi, on perd tout. Surtout pour moi qui ait plusieurs terminaux personnels et professionnels avec des systèmes différents (PC, Mac, Linux, Solaris …)<br /> Quand ils sont hébergés, certains ont des coûts non négligeables, et si on est protégés des hackers du dimanche, on est quand même à la merci d’entreprises privées.<br /> C’est d’ailleurs le même problème pour les vpn, ils n’empêchent pas une exploitation soit par l’entreprise, des «&nbsp;partenaires&nbsp;» et de la justice (on est d’accord pour certains faits odieux c’est tant mieux)<br /> Enfin, croyez-vous sincèrement que la «&nbsp;force brute&nbsp;» (trouver un mot de passe par décryptage en les faisant tous ou par algorithme maison sans s’en référer à des astuces ou des mots de passes faciles) n’arrivera pas à avoir raison de n’importe quelle complexité de mot de passe un jour proche ?<br /> Vous auriez tort de pensez qu’un cryptage sur 256bits, même 2048 sera suffisant, car avec l’informatique quantique cela va tout exploser toutes nos certitudes
stlm
rien de mieux que la phrase de passe<br /> du genre<br /> JhabitEdansTelleVilleAunumro@<br /> on risque pas d’oublier et c’est pas facile à trouver
kurasul
3 sextillion d’année pour mon mot de passe actuel<br /> ca va j’ai le temps de voir venir XD<br /> et pour ceux qu on pas compris<br /> go Keepass ou autres
serged
… Mais aussi, ceux qui demandent des mots de passe à tout bout de champs…<br /> Récemment pour la carte de fidélité d’un supermarché, ils m’ont demander un mot de passe; en plus un mdp dit «&nbsp;sécurisé&nbsp;», avec lettres majuscules et minuscules, chiffres et symboles obilgatoires: De vrais paranos pour gagner quelques centimes…
K702
Mais sinon les navigateurs possèdent un gestionnaire de mot de passe qui propose gratuitement de fournir un mot de passe unique et sécurisé pour chaque site nan ?
Blap
J’ai mon gestionnaire de mot de passe au boulot, c’est pas pour autant que n’importe qui a accès à mes mots de passes, c’est tout l’interet du chiffrement.<br /> Une fois que tu as mis le mot de passe que tu veux, ton coffre fort se verrouille automatiquement et personne pas meme toi n’y a accès.<br /> Par exemple pour les gens qui ont un fichier texte avec leurs mot de passe et les copient collent… il suffit qu’un tiers fasse Windows + V pour avoir accès au mot de passe en clair, n’en parlons pas si tu as la synchronisation du clipboard
Elysah
Sauf que par sécurité tu dois utiliser un MDP différent pour chaque compte car si l’un d’entre eux est piraté tu dois changer le MDP de TOUS tes comptes, et quand tu as 500 comptes différents, franchement ça saoule.<br /> Sinon comment sont faites ces stats, car bon si on compte les millions de comptes fictifs, dont on se fiche pas mal que le MDP soit sécurisé ou non, ca risque de fausser un peu les stats quand même …
MisterDams
Il y a une chasse aux pirates, mais c’est compliqué de protéger sans impacter l’expérience utilisateur. Le problème c’est les différents types d’attaques :<br /> Il y les outils qui vont tenter massivement d’ouvrir des comptes sur un service, qui font ça à grande échelle dans le seul but d’en trouver un qui fonctionne.<br /> De l’autre côté, il y a le pirate qui vise un cible précise, soit parce qu’il la connait, soit parce qu’il a une idée de comment l’avoir.<br /> Pour avoir vu une «&nbsp;petite&nbsp;» attaque bruteforce, c’est super compliqué quand t’as des milliers d’IP différentes qui se connectent et font chacune une tentative avec un mot de passe différent.<br /> Du coup tu mets un captcha, un délai exponentiel entre 2 essais sur un même compte, puis une 2FA et une notification de connexions suspectes. Sauf que du coup t’es obligé d’impliquer l’utilisateur, soit en dégradant son expérience soit en augmentant tes exigences envers lui.<br /> La base, c’est quand même de pas mettre azerty en mot de passe et de pas avoir ce même mot de passe pour ta banque et pour Clubic, au même titre que tu mets pas une clé de placard sur ta porte d’entrée ou sur ta voiture, alors qu’on devrait s’en prendre aux voleurs plutôt qu’à ta serrure.<br /> Pas grand monde considère qu’un mot de passe ou un hash stocké avec chiffrage est infaillible, que ce soit du côté de l’éditeur du site/service ou de l’outil qui le sauvegarde chez l’utilisateur.<br /> Simplement ça réduit le nombre d’attaquants potentiels (le petit hacker amateur sur son laptop vs le groupe expérimenté avec des milliers de serveurs zombies à disposition) et ça augmente le temps nécessaire pour faire aboutir l’attaque (= accéder à la donner puis la lire), avec une chance de la repérer puis l’interrompre avant, ou à défaut d’en limiter les conséquences (comme les campagnes de changement de mot de passe suite à des attaques réussies).<br /> Comme la serrure, on fait au mieux pour empêcher d’entrer. Même si on sait que c’est pas infaillible, car on peut éclater la porte, passer par une fenêtre, agresser la personne qui en a la clé…<br /> Alors globalement, oui, il y a une injustice à contraindre tout le monde à se verrouiller de tous les côtés pour quelques malveillants qui veulent nuire, ou parfois juste profiter pour eux-mêmes (quand ils pillent un compte, c’est plus pour s’enrichir que pour appauvrir la victime). Mais ce problème là, on a quand même pas cru qu’il était apparu avec Internet ?
SlashDot2k19
Parce que ceux qui mettent 123456 en mdp ne s’informent pas sur les hacks. C’est plus vu comme une contrainte (la demande de mdp) qu’ils veulent finir rapidement en fournissant le moins d’effort intellectuel possible.
JohnLemon
Le problème des gestionnaires de mots de passe avec génération automatique est que, autant ça marche bien pour les PC et smartphones, autant ça devient vite une grosse galère sur les périphériques non utilisables avec le gestionnaire en question, genre les TV connectées ou les consoles de jeux.<br /> Tu regardes l’écran de la console avec ton gestionnaire ouvert à côté et tu tapes tout manuellement à l’ancienne, ce qui est fastidieux quand on prend un mot de passe long avec beaucoup de règles de sécurité.<br /> Certains ont essayé de contourner le truc en permettant la connexion en passant par un périphérique de confiance, mais ça ne suffit pas toujours suivant le cas de figure.<br /> Sinon, pour en revenir à la sécurité, il y a de plus en plus de sites qui exigent le quatuor Minuscule Majuscule Chiffre Caractère spécial. Ça limite quand même les risques, même si il y a certains mauvais élèves qui interdisent certains caractères spéciaux car ne veulent pas se prendre la tête avec les subtilités du français et des claviers AZERTY ou qui impose sa propre manière de faire à cause d’un webmaster psychorigide qui veut jouer au petit chef.<br /> Et en général ce sont souvent les sites administratifs et les banques qui se distinguent en ce sens. Toujours les mêmes relous quoi.
Peggy10Huitres
«&nbsp;JhabitEdansTelleVilleAunumro@ on risque pas d’oublier et c’est pas facile à trouver&nbsp;»<br /> Sauf pour celui qui ne se rappelle jamais de ses anciennes adresses …
Asakha1
J’évite d’utiliser un gestionnaire de mot de passe pour justement éviter que ma liste complète puisse se retrouver dans les mains d’un pirate qui aura trouvé l’unique mot de passe qui protège ma liste !<br /> Pour arriver à me souvenir de tous mes mots de passe, j’utilise une partie fixe qui ne change pas avec une partie propre à chaque site facile à me souvenir. Comme «MotDePasseClubic.com» avec différentes variations si le site veut des chiffres en plus et des caractères spéciaux.<br /> Reste que ce qui rendrait les sites plus sécuritaire, ça serait de juste limiter le nombre d’essai… Si un utilisateur ne peut pas essayer plus d’un mot de passe par seconde, avec une incrémentation du délai à chaque erreur, on s’entend que même un mot de passe de 6 lettres avec masjuscule/minuscule pourra prendre plus de 626 ans à deviner si le site ne permet pas plus de 1 essai/seconde ? (près de 20 milliards de combinaisons possible)
ptitepuce
Pour mes mots de passe , j’ai l’habitude de mettre majuscule, minuscule, chiffre et symbole.<br /> Mais certains sites n’autorisent pas les symboles par exemple, ce qui est dommage.<br /> Par contre le coup de les changer tous les mois, je ne le fais pas, je change un peu n’importe quand.<br /> Je trouve un peu parano de changer aussi souvent.<br /> Puis façon aucun mot de passe n’est inviolable, certains seront juste plus longs à être cracké…
pocketalex
Asakha1:<br /> J’évite d’utiliser un gestionnaire de mot de passe pour justement éviter que ma liste complète puisse se retrouver dans les mains d’un pirate qui aura trouvé l’unique mot de passe qui protège ma liste !<br /> Pour arriver à me souvenir de tous mes mots de passe, j’utilise une partie fixe qui ne change pas avec une partie propre à chaque site facile à me souvenir. Comme «MotDePasseClubic.com»<br /> Avec Keepass, pour hacker ta base, donc ton mot de passe principal, il faut que le hacker ait accès à ta machine, puis à la base keepass, il faut aussi qu’il sache où est le fichier supplémentaire demandé à l’ouverture, et après seulement il peut tenter de décrypter le mot de passe principal, sachant que ce dernier est «&nbsp;hashé&nbsp;» en SHA-256<br /> Faut vraiment avoir de très, très important à cacher pour qu’il se donne la peine de tenter de casser ta clé vu les efforts immenses à fournir sans garantie de succès<br /> En revanche, la méthode que tu utilises, elle, permet un accès bien plus facile et rapide à tes comptes, et tous tes mots de passe sont proches, sans être identiques, mais proches<br /> Avec Keepass, j’ai un mot de passe unique par compte, et par compte j’entends aussi bien la banque que les impots, le mail google, amazon, etc mais aussi le moindre site (forum, ecommerce, infos, communauté, …), il y a les accès à la maison (chaque machine, le NAS, la box, les smartphones, etc), et pour tout ça chacun à un mot de passe différent et maximisé (entre 12 et 18 caractères, mix de chiffres, lettres maj et min, symboles) et il me faut moins de 10 secondes pour le retrouver au besoin.<br /> Dans ma tête, je suis capable je pense de mémoriser 10 à 20 mots de passe. Des comptes Internet, j’en ai environ 300, plus les FTP (un trentaine), plus les comptes pour mon usage pro (une vingtaine), plus les accès des appareils maison, et ajoute à ça ceux de ma famille, femme et enfants …<br /> J’en reviens à mon propos de départ : je ne vois pas comment on peut faire sans gestionnaire de mot de passe, sauf à vivre la porte ouverte et espérer que personne ne rentre quand on dort, parceque croire que le mot de passe «&nbsp;jhabiteatrifouillis&nbsp;» avec 3 variation et demi d’un site à l’autre vous sécurise, c’est bercer une sacré illusion
pocketalex
K702:<br /> Mais sinon les navigateurs possèdent un gestionnaire de mot de passe qui propose gratuitement de fournir un mot de passe unique et sécurisé pour chaque site nan ?<br /> C’est un bon début, mais c’est très limité. Comment stockes tu le mot de passe de ton NAS dessus ? et celui de tes appareils à la maison ? et tout autre information nécessitant de la confidentialité ?<br /> Mot de passe ne signifie pas forcément «&nbsp;mot de passe d’un site web&nbsp;», ça peut être plein d’autres données, et comment tu fais pour les sites qui empêchent le remplissage automatique et/ou qui nécessitent un code long à taper sur un clavier virtuel (exemple : maaf.fr, edf.fr, milleis.fr, etc) ?
pocketalex
Asakha1:<br /> Reste que ce qui rendrait les sites plus sécuritaire, ça serait de juste limiter le nombre d’essai… Si un utilisateur ne peut pas essayer plus d’un mot de passe par seconde, avec une incrémentation du délai à chaque erreur<br /> ça, ça sécurise la base si tu tentes de forcer un mot de passe en accès via la site web. Google l’utilise.<br /> mais si le hacker a cracké le serveur et est rentré dedans, cas le plus fréquent, il ramène la base chez lui et ensuite il lance ses outils, et là il va aussi vite qu’il veut pour déchiffrer<br /> Enfin, n’oubliez pas que les sites qui se font hacker, et ça arrive tous les jours, si derrière la base n’est pas assez sécurisée, et ça arrive tous les jours, et qu’elle est décryptée, il y a des chances pour qu’elle soit ensuite vendue sur le web (le dark web), donc votre mot de passe «&nbsp;jhabiteaneuneuland&nbsp;» soit diffusé aux quatres vents. Si il a été utilisé sur plusieurs sites, c’est mort pour tous ces sites, en espérant que vous n’avez pas stocké votre CB dessus, ça arrive aussi tous les jours. Et rien n’empêche les hackeurs -et vu que votre compte est dans une base largement diffusée, ça peut concerner beaucoup de monde - de tenter les alternatives que vous avez mis en place et rentrer dans encore plus de comptes…
Krimog
J’utilise un mot de passe ultra simple sur plein de sites, parce que j’en ai rien à faire si quelqu’un pirate mon compte sur de simples forums ou autres.<br /> En revanche, ma messagerie, mon compte bancaire, mon compte Amazon, mon compte Active Directory… c’est différent.<br /> Mais surtout, je tiens à gueuler sur les «&nbsp;bonnes pratiques&nbsp;»: c’est de la merde.<br /> Changer un mot de passe n’a d’intérêt que si quelqu’un d’autre l’a obtenu. Forcer à le changer tous les deux mois, ça va faire 2 choses : soit le mot de passe sera marqué quelque part (donc pas sécurisé), soit le mot de passe aura un compteur (donc pas plus sécurisé).<br /> Quant au fait d’obliger à mettre des majuscules / minuscules / symboles au sein de ses mots de passe, ça n’a aucun intérêt si le mot de passe est correctement salé avant le hash et que ton sel (ou au moins une partie) se trouve ailleurs que dans ta base. Même un mot de passe à 4 chiffres ne peut pas être bruteforcé si tu n’as pas l’intégralité du sel. Rappelons aussi que le bruteforce n’est faisable que si quelqu’un a pu aspirer la base. Auquel cas, là encore, le problème ne vient pas de l’utilisateur mais bien du SI.
megadub
Plus qu’un mdp compliqué, il est surtout très important d’avoir des mdp différents sur chaque site et activer la double authentication lorsque c’est possible.
K702
En effet je n’avais qu’une vision orientée « mot de passe d’un site web » sans penser aux autres utilisations. Et même si comme tu le précises à raison ça reste limité, je pense que malgré tout ça peut rester une bonne solution pour des personnes peu expertes et recherchant un minimum de sécurité pour un usage basique.<br /> A titre d’exemple je suis satisfait d’avoir réussi à convaincre mes parents d’utiliser le gestionnaire de mot de passe du navigateur pour leur utilisation web, au moins maintenant il y a un mot de passe aléatoire pour chaque nouveau site, et non plus le même mot de passe ultra simple qui était répété sur tous les sites <br /> Après pour les sites qui demandent malgré tout une saisie manuelle ce n’est pas si grave, ils n’en ont pas tant que ça et cela permet de faire travailler la mémoire
Elcamino
Le truc, c’est que des mots de passe il en faut des différents à chaque fois. Je dois bien avoir une centaine de mots de passe. Merci Google
Voir tous les messages sur le forum
Haut de page