Selon une étude publiée mardi par la société Deloitte et relayée par l'AFP, 91 % des mots de passe utilisés par les internautes seraient vulnérables. La cause principale étant le manque d'originalité puisque près de 10 % d'entre eux seraient simplement « password », « 123456 » ou « 12345678 »... un rapport qui fait froid dans le dos.
Capture d'écran : Password Checker de Microsoft
Souvent pris à la légère par certains utilisateurs, les mots de passe sont les garants de la confidentialité de vos données, les négliger vous expose donc à des ennuis. La branche panaméenne de la société Deloitte s'est penchée sur le sujet et nous dévoile un rapport assez inquiétant, mais pas forcément surprenant.
Les 10 mots de passe les plus courants ouvriraient les portes de 14 % des comptes
En effet, sur près de six millions de mots de passe analysés à travers une quinzaine de pays dans le monde, les 1 000 plus répondus permettraient d'accéder à 91 % des services sur internet tels que les comptes en banque, les boites mails ainsi que les réseaux sociaux. Si on se limite aux 500 les plus courants ce sont 79 % des comptes qui seraient compromis, 40 % avec les 100 plus communs et même 14 % avec seulement les 10 plus utilisés.
Sans surprise, le trio de tête est composé des combinaisons de « password », « 123456 » et « 12345678 » qui représentent à eux seuls près de 10 % des mots de passe utilisés, le premier totalisant à lui seul un score impressionnant de 4,7 %. Cette étude n'est pas sans rappeler le rapport de SplashData qui dévoilait les 25 pires mots de passe de 2012, le tiercé gagnant étant identique et dans le même ordre.
À l'instar de Twitter par exemple, certains sites ont décidé de bannir certains mots de passe jugés trop simples, ou trop courts, tandis que d'autres imposent un mélange de chiffres et de lettres (majuscule et minuscule) avec une mise à jour tous les mois. Mais cela n'empêche pas les utilisateurs de trouver des « parades » avec, par exemple Janvier2013, Fevrier2013, etc...
Les smartphones et les tablettes n'incitent pas à créer des mots de passe complexes
Ce rapport met également en avant la différence entre les mots de passe créés sur un ordinateur et ceux provenant d'un terminal mobile. En effet, dans le premier cas il faudrait entre 4 et 5 secondes pour saisir un mot de passe proposant un niveau de sécurité satisfaisant, tandis que sur mobile cela prendrait entre 7 et 30 secondes, ce qui pourrait en refroidir certains qui céderaient vite à la facilité.
Pour rappel et afin de sécuriser au mieux vos données et vos comptes, il est recommandé de mélanger au maximum les caractères spéciaux, les chiffres et les lettres pour créer votre mot de passe. De plus, nous vous conseillons de ne pas utiliser le même mot de passe sur différents sites afin de limiter la casse en cas de problème. Sachez enfin qu'un sujet dédié à cette épineuse question est disponible sur notre forum.
Commentaires (96)
#1
Mouais, faut relativiser quand même, personnellement j’ai plein de mots de passe simples (ou pourris suivant le choix de vocabulaire) et d’autres plus compliqués. J’utilise les premiers sur les sites dont je me moque que quelqu’un veuille accéder à mon compte et les autres sur le sites important comme mon mail principal ou encore ma banque.
Du coup, je me dis que ce genre de statistique ne sont pas vraiment représentative de la sécurité individuelle sur internet.
#2
Il y a 10 ans les mots de passe étaient déjà ultra vulnérables…
A l’INRIA, il y avait un robot qui s’amusait à cracker les mots de passe des sessions windows. Le mien s’est fait briser comme bien d’autres (et c’était de la combinaison mots étrangers avec minuscules/majuscules, des chiffres, des caractères spéciaux), c’était rigolo… il ne faut jamais mettre de mot d’aucun dictionnaire xD
Le problème de ceux trop complexes, c’est qu’il faut les noter quelque part… et ce quelque part peut se faire découvrir. Bon ça m’apprendra à ne pas avoir une mémoire d’éléphante.
#3
Le pire ce sont les questions pour retrouver un mot de passe. Genre t’as le choix entre 5 questions bidons pour lesquelles tu peux trouver des réponses super facilement. Sans compter évidemment les mots de passe moisi
" />
#4
” Non, « password » ce n’est pas un mot de passe, c’est une passoire”
Et « passoire » alors?
#5
Le miens est assez complexe, il s’agit de *
" />
Pas encore eut de problème.
#6
Les questions pour retrouver un mot de passe perdu sont une aberration.
Mais comme il faut faire avec, mes réponses sont… des mots de passe ! Osef des réponses qui annihilent complètement l’utilité des mdp sinon.
PS : toujours le soucis d’artefacts sur les captures apparemment ou bien j’ai raté un épisode.
#7
Déjà, si les boites empêchaient qu’un robot puisse brute tester 10 000 mots de passe à la suite sans se poser de questions, ce serait déjà pas mal !
#8
Ne pas oublier non plus :
https://xkcd.com/936/
L’idée est que 4 mots de vocabulaires courant peuvent faire un meilleur mot de passe que l’équivalent avec des signes bizarres mais trop facilement oubliable.
#9
#10
Selon password checker de windows, 28 fois la lettre “a” c’est le best
" />
#11
perso je mets partout comme mdp “incorrect”
car quand je l’oublie, le soft me le rappele:
#12
#13
#14
avec une mise à jour tous les mois. Mais cela n’empêche pas les utilisateurs de trouver des « parades » avec, par exemple Janvier2013, Fevrier2013, etc…
Parce que c’est méga chiant ! Sur un domaine Windows, quand tu tapes l’ancien, le nouveau deux fois, et qu’il te dit qu’il ne respecte pas les consignes, avec un message peu lisible…
TOUT LE MONDE se trouve un pattern qui correspond aux règles, et incrémente son mot de passe d’une façon ou d’une autre.
En fonction des services et des boites, les mots de passe mettent du temps à être répliqués. Certains systèmes sont à J+1…
#15
#16
#17
Je génère mes mots de passe avec un logiciel de génération de clef WPA2, j’en prend un bout et c’est parfait
" />
#18
Le plus simple c’est d’avoir une sorte de règle “tordue ” et de s’y tenir.
Par exemple : un mot courant ou une miniphrase simples à retenir, en intercalant les nombres impairs de 31 à 21 à rebours, toutes les X lettres…
Exemple avec “Geekerie”, intercalé tous les 2 lettres ca donne Ge31ek29er27ie25.
Strong, selon password checker.
Et on peut faire beaucoup plus tordu
#19
Correct horse battery staple
" />
" />
#20
#21
#22
#23
#24
Une méthode simple c’est de se dire une phrase de l’écrire un peut n’importe comment :
Exemple
“ si tu sais pas demande si tu sais partage ”
si = 6
tu
sais pas = !C
demande = @sk
sinon = !6
partage = shR
6tu!C@ask!6shR
bon la j’ai pris un truc un peu long et c’est chiant a tapper mais en le tappant une petite dizaine de fois on peut jeter le post-it ensuite et voila on a un mot de passe nickel, bon courage pour le trouver a l’aide de dico celui la…
#25
#26
#27
#28
Générateur de mdp tout simplement !
#29
#30
#31
#32
On peut aussi prendre le pb dans l’autre sens en limitant le nombre de saisie de mot de passe.
Certains sites comme celui de ma banque font ça: 3 saisies mots de passes erronés = compte bloqué.
Reste le pb de déblocage du compte qui peut être lourd, mais aucune solution n’est parfaite. Celle-ci a l’avantage de mieux protéger l’utilisateur qui peut du coup utiliser des mots de passe plus simples.
#33
Perso, j’apprécie que les sites informent des bonnes pratiques de choix de mot de passe. À l’inverse celles qui m’imposent un format spécifique m’horripilent (le pire étant quand elles limitent le nombre de caractères MAXIMUM, genre 10 caractères, si c’est pas du bon foutage de gueule ça…
" />).
" />
J’ai une matrice de password dans ma tête, ça me va bien, si un jour quelqu’un trouve mon mdp et pénètre mon compte, bah c’est pour ma pomme et tant pis pour moi. S’il comprend comment je “fabrique” mes mdp et en profite pour tester tous les sites du monde, libre à lui.
En revanche, m’imposer des restrictions sur le mdp juste parce que l’éditeur du site pense ainsi améliorer la sécurité de sa structure, ça me gave au plus haut point. Si un pirate arrive, en utilisant un simple compte utilisateur, à foutre la merde sur le site entier, c’est que le site est mal conçu, point barre. À eux de gérer, au lieu de me forcer à retenir un truc complètement spécifique.
EDIT : D’ailleurs maintenant, les sites qui me font ça je m’y inscris plus, sauf nécessité absolue… Comme ça c’est plus simple pour tout le monde.
#34
#35
#36
Au passage, il y a également un effort à faire de la part des sites. Le hachages md5 est le plus couramment utilisé, par tradition, mais il n’a jamais vraiment été conçu pour hacher des mots de passe. Il a été conçu pour être rapide à calculer à une époque où les machines n’étaient pas aussi puissante qu’aujourd’hui.
Aujourd’hui, une grosse bécane qui parallélise le calcul sur des GPU peut en calculer des dizaines de milliards à la seconde, donc certains préconisent l’abandon du md5 au profit du blowfish, qui est conçu pour être long à calculer. Cela-dit, pour un site qui doit gérer des milliers de connexions à la seconde, ce n’est peut-être pas évident.
#37
Ce rapport met également en avant la différence entre les mots de passe créés sur un ordinateur et ceux provenant d’un terminal mobile. En effet, dans le premier cas il faudrait entre 4 et 5 secondes pour saisir un mot de passe proposant un niveau de sécurité satisfaisant, tandis que sur mobile cela prendrait entre 7 et 30 secondes, ce qui pourrait en refroidir certains qui céderaient vite à la facilité.
Je confirme à 100% !
J’ai un mdp d’environs 25 caractères (minuscules, majuscules, chiffres, caractère spéciaux) et c’est tout simplement HORRIBLE à saisir sur un clavier de téléphone Je peux y passer pas loin de 30 secondes alors que sur mon PC je le fais en quelques secondes!
Je sais pas comment se problème pourrait être résolue, peut être en implémentant le système de “model” d’Android par exemple pour les mdp sur les sites et que les sites autorisent les deux modes de connexions ?
#38
#39
Et un mot de passe à la Magritte, “Ceci n’est pas un mot de Passe”.
" />
" />
#40
#41
mais le Code, c’est pas “le code”?
#42
#43
#44
Ca c’est de l’étude ! Fallait pas être devin pour le savoir…
" />
#45
y’a le probleme des mots de passe trop simple mais il y a aussi le probleme des systeme qui t’autorise a faire 100000 tentatives
ca devrait etre bloqué au bout de qques essais infructueux..
#46
Le problème n’est pas le mot de passe, mais la politique de sécurité du site web. Si un hacker peut tester online tous les mdp qu’il veut ou récupérer la bdd par injection SQL, alors les mdp ne servent quasiment à rien.
On lit souvent le conseil “C’est aux utilisateurs de choisir des mots de passe plus compliqués, variés, rares, …”. Patate chaude… bottage en touche… et hop… cépasdmafaute.
Sauf que la vitesse des CPU des hackers augmentent beaucoup plus vite que la capacité de mémorisation de l’être humain. Tous les ans on a droit à la news “Cette année, il faut vraiment augmenter la longueur des mdp pour être en sécurité”. Bref, c’est peine perdue. On ne va certainement pas retenir des dizaines des mdp différents remplis de caractères unicode.
Il va bientôt être temps pour les sites web de trouver une méthode d’identification moins passoire que le formulaire HTML user/password et sa base SQL de comptes utilisateurs.
#47
#48
Dans ma boite les mot de passe des serveurs sont des mélanges de mots avec éventuellement inclusion de chiffre et de ponctuation.
Malgré le nombre élevés de serveurs c’est vraiment facile à retenir, quoiqu’un peu long à taper… après on peut faire des phrase bizarre du genre “j’m le sau6son sec”
#49
#50
generer un mdp facilement:
openssl rand -base64 PASSWD_SIZE
#51
Surtout qu’il existe des logiciels, tel que keepass, gratuit, qui permet de stocker/générer/ranger des mots de passe. Il ne reste plus qu’à trouver un bon mot de passe maitre et le tour est joué
#52
#53
Rien de tel qu’une racine facile à mémoriser à laquelle on concatène un mot en rapport avec le service qui demande un mot de passe.
Exemple de racine de mot de passe utilisant min,MAJ,spé : R2Mdp_
après ca roule tout seul :
R2Mdp_diablo3
R2Mdp_pcinpact
Mais sinon, utiliser plusieurs mots d’affilée est pas mal. Vous vous rappelez le mot de passe de Ash, dans Avalon ?
#54
#55
Attention aux mots de passes longs. Plus il est long, plus on a tendance à utiliser le même partout. Grave erreur ; il suffit de l’utiliser sur un forum louche, et la sécurité de tous ses comptes est mise à mal. Pour moi le plus important, c’est d’avoir un algo en fonction du nom du site.
Quant au password checker de Microsoft, il me fait bien rire :
aaaaaaaaaaaa : Acceptable
password123 : Acceptable
%ù¤Fµ§°£ : Trop faible
#56
#57
#58
J’en met un en binaire d’ASCII “ 01001110010000110100001100110001001101110011000000110001” et le site de Microsoft me dit “ Best “.
" />
#59
Pour les phrase en mot de passe je pense que c’est moins sécurisé. 10 caractères vraiment aléatoire ne se cassera pas par brute force de toute façon. Et en présence d’autre personne on peut trouver la phrase tapper sur le clavier alors qu’avec des lettres vraiments sans suite c’est bien plus dur.
#60
Boudiou je me suis planté également, il ne s’agit pas d’une combinaison de 8 parmi 30000 mais d’une permutation de 8 parmi 30000 soit 655487874690377482535447761048800000 combinaisons possibles.
Mes excuses.
#61
#62
RAS
#63
#64
Pour mon Wifi, j’utilise MarieFrançoiseMarais comme mot de passe, apparement, il est fort
" />
#65
#66
#67
Alors, 1 faut faire du brute force sur un login online…. si le serveur a les bin timings….. courage. 2 les kludges des frameworks langages web sont des passoires, y a meme pas besoin des mots de passes.
#68
#69
#70
#71
c’est nul les mots de passe (entre je sais plus, lequel, j’ai pas le pavé numérique activé), greffons nous des puces au cul et ça ira mieux
" />
#72
#73
#74
#75
#76
Perso pour les truc important c’est tout simplement des clé windaube(2 à 5 morceaux en fonction du nombre max de caractères), avec des maj certain endroit.
" />
2 avantages, le recyclage et ça entraine la mémoire
#77
#78
#79
#80
#81
#82
#83
#84
#85
#86
Il n’y a pas pour moi de méthode idéale pour créer un mot de passe, et dans l’idéal il ne faut pas divulguer ça méthode, parce que un petit malin qui vous lirais, pourrait alors choisir sa méthode en conséquence.
C’est pour cela que je ne vais pas divulguer ma méthode.
Souvent la façon d’attaquer un mot de passe est l’attaque par dictionnaire (sélection de mot par ex 30.000) couplé à une méthode (choix du nombre de mot …), le social ingennering (question orienté pour par exemple deviner le mot de passe, menace,…), des logiciels (keylogger, analyseur de trame,…) et enfin la bruteforce (essaie de tout les combinaison possible), par comparaison de HASH.
En ce qui concerne la gestion de mot de passe Keypass est un bon choix (libre de surcroit) mais un fichier Excel peut aussi bien faire l’affaire à la condition qu’il soit chiffré (Conteneur TrueCrypt). Alors bien sur cela ne protégèrera pas des chinois du FBI (jeu de mot un poil oser mais c’est de l’humour) et puis entre nous, si on est interrogé par le FBI, nos mots de passe seront le cadet de nos soucis.
Reste que maintenant, à chaque qu’un ça méthode, pour vous donner une idée de ce que j’utilise même si plus haut j’ai dit que je dirais rien. ( ce n’est qu’une partie de l’iceberg, la partie cacher et reste secrete)
On peut par exemple utilisé un mot du dictionnaire avec un ajout de chiffre, caractère spéciaux, faire un découpage du mot pour complexifié le mot de passe, inverser des syllabe par exemple, utilisé des mot de plusieurs langue voir même fictif (qui à dit le KLINGON :p).
Bref voyez l’idée.
#87
Votre mot de passe est-il fort ?
Plus maintenant que vous nous l’avez donné. Merci.
#88
#89
Je suis d’accord avec votre dernier paragraphe, mais certains sites n’acceptent pas les caractères spéciaux. J’utilisais sur certains sites le @, eh bien sur d’autres sites c’est impossible, il ne le comprend pas.
Perso je trouve ça très embêtant, ne souhaitant pas utiliser un mot de passe différent pour chacun de mes comptes.
#90
outre le fait qu’il est souvent mal choisi par l’utilisateur, j’aimerais aussi une etude sur le pourcentage de sites commerciaux et/ou gratuits/non marchands qui protegent mal le dit mot de passe
(genre on vire 1⁄3 de ses tech secu reseau quand ces derniers remontent une faille dangereuse, on installe son serveur web d’ecommerce ou de base client avec les mdp par defauts, ou avec des versions non patchées vulnérables avec les exploits/failles deja connues, on stock le mdp en clair et on le reexpedie par email en clair au lieu de le faire reset, etc)
parce que à quoi ca sert que j’utilise un/plusieurs mdp fiables/corrects, si c’est ensuite géré par des branques qui les affichent limite en page de garde de leur site ou dans l’url ou le cookie ?
#91
Pour rappel et afin de sécuriser au mieux vos données et vos comptes, il est recommandé de mélanger au maximum les caractères spéciaux, les chiffres et les lettres pour créer votre mot de passe.
NON
#92
Selon le Password Checker,
" />
Saint Yorre, ça va fort !
#93
#94
#95