On ne le répétera jamais assez : choisir un mot de passe suffisamment sécurisé est important afin de garantir un minimum de sécurité à vos données, mais les habitudes sont tenaces... SpashData dévoile les 25 pires mots de passe de 2015 et certains effraient par leur simplicité
Chaque début d'année, SpashData propose un classement des pires mots de passe de l'année qui vient de s'écouler. Pour mener à bien son étude, explique qu'elle analyse les bases de données qui ont été dévoilées sur Internet. Elle annonce avoir ainsi récolté pas moins de deux millions de mots de passe ; il faut dire que l'année 2015 a eu droit à son lot de failles et de fuites de données.
Des mots de passe plus longs, mais pas forcément plus sécurisés
La société note tout d'abord une tendance à la hausse de la longueur des mots de passe « démontrant peut-être un effort à la fois des sites et des internautes d'être plus sécurisés ». Cependant, certains sont tellement simples qu'ils n'apportent finalement aucune sécurité supplémentaire. C'est notamment le cas de 1234567890, 1qaz2wsx et qwertyuiop (les deux derniers sont des suites de touches qui prennent plus de sens sur des claviers QWERTY).
Voici sans plus tarder la fameuse liste :
- 123456
- password
- 12345678
- qwerty
- 12345
- 123456789
- football
- 1234
- 1234567
- baseball
- welcome (nouveau)
- 1234567890 (nouveau)
- abc123
- 111111
- 1qaz2wsx (nouveau)
- dragon
- master
- monkey
- letmein
- login (nouveau)
- princess (nouveau)
- qwertyuiop (nouveau)
- solo (nouveau)
- passw0rd (nouveau)
- starwars (nouveau)
Les 10 premières places sont occupées par les mêmes mots de passe que l'année dernière (certains sont dans le top 10 depuis plusieurs années), avec simplement quelques changements dans l'ordre, tandis que les cinq derniers sont tous des nouveautés de 2015. On note également une certaine influence du retour de Star Wars avec des références au film aux 23e et 25e places.
Les recommandations de l'ANSSI
Dans un guide dédié aux bonnes pratiques de la sécurité informatique, l'ANSSI donne quelques règles de base sur la gestion des mots de passe. L'agence nationale de la sécurité des systèmes d'information recommande d'un choisir un avec « 12 caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux) n’ayant aucun lien avec vous (nom, date de naissance…) et ne figurant pas dans le dictionnaire ».
De plus, et comme nous le rappelons régulièrement, il faut utiliser « un mot de passe unique pour chaque service sensible » afin d'éviter des piratages en série en cas de fuite sur l'un d'entre eux. Mais l'agence recommande aussi de « ne pas utiliser les outils informatiques permettant de stocker les différents mots de passe ». Une annonce qui résonne comme un écho à l'histoire de Lastpass qui serait sensible à une attaque par phishing.
Sachez enfin que si vous êtes en manque d'inspiration pour trouver un mot de passe suffisamment sécurisé, il existe des générateurs aléatoires de mots de passe en ligne (ici et là par exemple). Le problème étant qu'il est toujours possible qu'ils enregistrent les mots de passe ainsi générés, même si les deux sites s'en défendent ouvertement. Dans tous les cas, cela peut vous donner des pistes afin de trouver le « bon » mot de passe.
Comme toujours, vous pouvez également demander de l'aide sur notre forum.