Dans la sécurité informatique, les années se suivent et... se ressemblent. Selon les fuites de données de 2016, les pires mots de passe de 2016 ne sont pas sans rappeler ceux des années précédentes. Si les vôtres sont du même acabit, on ne peut que vous conseiller de les changer au plus vite.
C'est désormais une tradition à chaque début d'année : des sociétés spécialisées dans la sécurité informatique se lancent dans une compilation des différentes fuites de données de l'année passée afin d'établir un classement des pires mots de passe. En 2016, et comme l'année dernière, la liste fait peur.
Un top 10 qui fait froid dans le dos
C'est Keeper, un éditeur de gestionnaire de mots de passe, qui ouvre le bal. La société explique en effet avoir récupéré pas moins de 10 millions de mots de passe rendus publics d'une manière ou d'une autre. Les 25 qui reviennent le plus souvent représentent plus de 50 % de l'ensemble des mots de passe récupérés affirme la société.
Le premier point mis en avant concerne la longueur : dans le top 10, quatre mots de passe font six caractères ou moins (ils sont sept sur le top 15). « La présence de mots de passe comme «1q2w3e4r» et «123qwe» indique que certains utilisateurs tentent d'utiliser des modèles imprévisibles pour sécuriser les mots de passe, mais leurs efforts sont, dans le meilleur des cas, légers » explique Keeper dans son billet de blog.
Voici sans plus tarder la liste du top 10 :
- 123456
- 123456789
- qwerty
- 12345678
- 111111
- 1234567890
- 1234567
- password
- 123123
- 987654321
Le problème de ce genre de mot de passe est qu'ils font partie des premières possibilités testées par d'éventuels pirates afin d'accéder à vos comptes, et ce, avant de tenter une attaque par force brute. Pour rappel, le site « I have been pwned » se propose de vous indiquer si votre adresse email a été identifiée lors d'une fuite de données. Le cas échéant, le ou les services concernés sont précisés.
Petite surprise tout de même dans ce classement : la présence de 18atcskd2w en 15e position. Mais d'après Keeper, il s'agirait de comptes crées par un bot dans le but d'envoyer du spam.
Comment choisir et retenir de bons mots de passe ?
Même s'il est probable qu'une partie non négligeable soit des mots de passe anciens sans doute changés depuis, cette liste montre encore une fois le travail qu'il reste à accomplir. Cela peut venir des sites qui pourraient demander une certaine robustesse minimum lors de la création d'un compte (ou du changement d'un mot de passe), mais également des utilisateurs qui doivent être plus actifs sur leur sécurité.
Pour rappel, nous avons publié un dossier complet sur le sujet, aussi bien sur les règles à connaitre pour créer un bon mot de passe, que sur les gestionnaires qui permettent d’éviter d'avoir à en retenir des dizaines différents. Et si cette piqure de rappel était justement l'occasion d'avoir une bonne hygiène de vie numérique ?
- Choisir un bon mot de passe : les règles à connaître, les pièges à éviter
- Notre dossier sur les gestionnaires de mots de passe
Commentaires (124)
#1
On voit bien que ce sont des anglo-saxons qui prennent des mots de passe faciles à craquer.
Par exemple ils utilisent “qwerty” : c’est trop facile à trouver.
Moi j’utilise “azerty” : ils ne le trouveront jamais …
#2
Moi je mets des mots de passe impossibles à retenir de 50 caractères et je demande une réinitialisation de mot de passe à chaque connexion
" />
#3
C’est difficile de convertir des gens peu à l’aise avec l’informatique à l’utilisation de gestionnaires de mots de passe malheureusement.
Personnellement, un bon KeePass :)
#4
Je fait des phrases de passe des fois.
#5
Tiens je me pose une question pour les gens qui utilise un gestionnaire de mot de passe, vous faites comment dans les cas suivant :
#6
Pas que… Personnellement, le meilleur gestionnaire de mot de passe que j’ai, c’est ma tête… Je ne confierai pas mes mots de passe a un gestionnaire (aussi bons et sécurisés soient-ils). Une dizaine de mot de passe aléatoire à retenir, ce n’est pas insurmontable.
" />
Mais je suis bien d’accord qu’il faut mieux utiliser un KeePass que d’utiliser des Passwords comme ceux de l’article
#7
#8
toujours un succès les mdp!
#9
J’aimerais bien les retenir mais 32 char avec des caractères ANSII, j’ai du mal
" />
#10
Avec KeePass, tu peux importer une base de données depuis le cloud. Sinon, l’avoir sur une clé usb, ça peut dépanner.
#11
Pour certains comptes, j’ai utilisé la “méthode Diceware”, en renforçant moi-même le résultat obtenu (ex : ajout de mots, de caractères spéciaux…).
ça a l’avantage que les mots se retiennent facilement au fur et à mesure du “tirage” des mots.
Sinon, Keepass !
#12
#13
oui….mais faut pas que le Logiciel bugge !
" />
“retenir 50 MdP”–> pff !!!
#14
c’est ce que je fais de plus en plus sur les sites où je ne vais pas souvent 
" />
#15
tu rigoles mais sur des sites sensibles où je vais rarement c’est ce que je fais.
genre impots.gouv.
#16
En effet 
" />
Perso je suis plus à 12 généralement et 16 pour les deux plus critiques, voir 8 pour ceux qui ne sont pas critique du tout (genre forum). Est-ce bien utile de mettre du 32 pour tous ses mots de passe ! La est la question :)
#17
Pourquoi pas une gestionnaire de mots de passe avec une taille de 50 caractères ?
#18
Mais je suis bien d’accord qu’il faut mieux utiliser un KeePass que d’utiliser des Passwords comme ceux de l’article 
" />
ils n’en AURAIENT pas mis = kif, kif* !
* pareil
#19
j’ai aussi un gestionnaire de mdp.
mais sur les sites sensibles je préfères ne pas les stocker
#20
Je ferais aussi remarquer que sur certains sites comme Orange par exemple, les mots de passe sont limités à 12 voir 16 caractères et les espaces ou les caractères spéciaux purement et simplement interdits. Ca ne me donne pas vraiment confiance dans la sécurité du site.
J’espère qu’ils ne stockent plus rien en clair :/
#21
#22
#23
#24
1) un MdP pour un “Forum, etc…” = du “8” suffit (si on le “craque”…c’est pas SI grave)
faut panacher : Majuscules, minuscules, chiffres, caract. spéciaux (&%¨^?) etc…
#25
Moi aussi !
#26
#27
Exact et il a son pendant sous Androïd (prendre la version offline par contre).
#28
Depuis que Free (petit acteur du Net Français) m’a renvoyé mon mot de passe par mail au lieu de me proposer de le réinitialiser…
Je ne doute plus de rien sur ce sujet…
#29
#30
Caisse d’Épargne : 4 chiffres
" />
#31
Franchement, même avec un soft dont le code source serait open source, envoyer mes mdp même chiffrés dans le cloud, ça sera sans moi.
Je suis déjà relativement peu confiant avec Keepass qui reste en local alors….
Après si ce cloud est auto-hébergé chez moi, ça pourrait me convenir.
#32
C’était pour les anciens, maintenant ils sont passé à 6 … ooooooooo révolution !
#33
Lastpass, un vrai bonheur, synchronisation mobile et pc, 12€ par an à peine, supporte la double authentification via une dizaine de moyens (Yubikey, Authentificator, Grille multifactorielle, etc). A celà s’ajoute le blocage de la connexion en fonction du pays, le blocage du réseau Tor.
Bref, 5 ans d’utilisations, un vrai bonheur.
#34
Ah ah ah, ça ne me surprend même pas.
#35
5 chiffres caisse d’épargne
#36
#37
Perso le plus critique des MDP est unique et il dépasse les 10 caractères et avec double authentification.
Pareil pour tout ce qui est site d’achat.
Pour les forum ça dépends vu que y’a pas de financier
#38
“Tiens ? le même code que sur mes valises !”
#39
#40
#41
#42
#43
Après il faut voir les sites d`où les mots de passe utilisés proviennent.
Pour ma part je choisis mes mots de passe en fonction du niveau de risque d’avoir un compte compromis et de ce que cela entraînerait.
Pour les sites avec un risque important comme Paypal j’ai un mot de passe avec 3x le combo chiffres, minuscules, majuscules, et caractères spéciaux.
Pour les autres comme NXI j’en choisis un de sécurité moyenne avec simplement des chiffres et des lettres minuscules.
Et pour les sites où je n’irai limite qu’une fois, 6 ou 8 chiffres au mieux font l’affaire.
#44
pour e-carte bleue, c’est 8 symboles maxi, ils ne rigolent pas non plus avec la sûreté.
#45
franchement, pour accéder à mes pass l’assaillant devrait: casser mon pass google, réussir à passer le 2FA, et casser le chiffrement de la BD keepass.
bon courage.
je précise que la NSA et le FSB ne sont pas dans mon threat model. ^^
#46
J’ai envie de citer un spécialiste des mots de passes et du chiffrement :
– Provencal le Gaulois
#47
Au pire tu chiffres le conteneur keepass avant de le mettre sur le cloud
" />
#48
De toute façon le conteneur est chiffré hein … sinon ça sert à rien
#49
#50
Globalement si tu sorts de Impôts / Messageries / Banques / Services (Edf, sfr, ect..) / site de commerce ou ta CB est enregistrée, pour lesquels j’ai un mot de passe différent pour chaque, pas tellement de risque. Et pour certains, comme Steam ou Bnet, il y a la double authentification.
Donc j’utilise le même mot de passe pour certain types de site. Par exemple, si j’ai le même mot de passe sur Clubic et NextInpact, quelle est la gravité ? Au pire, qqn écrit des âneries avec mon compte ? Dans tous les cas je pourrai le récup via mon mail le mot de passe… Idem si j’ai le même pour, par exemple, Matériel.net et LDLC ! Si qqn veut commander avec mon compte, ca ne me dérange pas, il faudra bien qu’il paie avec sa carte :) tout ce qu’il pourra faire c’est consulter l’historique et regarder mon adresse.
Keepass par exemple, il suffit d’en avoir un pour les avoir tous, un petit keylogger au bon endroit peut faire mal en gros…
#51
#52
Un mot de passe facile à retenir, c’est pas si compliqué “gé2lloq!”
" />
" /> Sans compter les sites boulot, avec leur mot de passe imbuvable qui changent tous les 6mois et parfois sans prévenir 
" />
J’utilise aussi KeePass, sur Android, il ne demande aucun accès internet, j’ai plus d’une centaine de mot de passe mémorisé, Depuis Pixmania jusqu’à “Merci qui”, en passant par la Fnac, Yahoo, Outlook, Gmail, Icloud, les impots, la mutuelle, j’en passe et des meilleurs
#53
Hé mais c’est pas gentils de mettre mes mots de passes en ligne
" /> .
#54
En effet, Lastpass (5-6 ans d’utilisation) m’indique 116 sites…
#55
#56
Le mot de passe de John Podesta était “password1”. Bizarrement, il s’est fait hacker.
#57
#58
Perso j’utilise KeePass avec 1 mot de passe et une clé de validation. Laclé et copiée manuellement sur tous mes devices à la configuration et la”db” et synchronisée automatiquement avec OneDrive.J’utilise l’application OneDrive etKeepass2Android sur le mobile pour pouvoir y avoir accéder n’importe où.
#59
Mais en fait les gens ne comprennent pas à quoisert un mot depasse.
Chez eux, ils ne doivent pas fermer les portes, ça sert çà rien et en plus ça empêche de passer !
#60
Cette liste n’est pas représentative de la réalité des sites les plus fréquentés …
La plupart des sites “sérieux” empêchent désormais l’utilisation de mdp faibles …
#61
Probablement pas, c’est un mot de passe que gmail n’accepte pas. Par contre il utilisait des mots de passe en carton, c’est documenté. Mais peu importe, puisqu’il s’est fait avoir par du phishing et a donc donné directement son mot de passe aux attaquants.
#62
#63
#64
#65
J’utilise une “base” de mot de passe plutôt solide (voire vachement), mais chiante à taper, et en suffixe j’utilise une méthode pour que le MdP soit différent d’un site à l’autre mais inspiré du nom de domaine, afin que je puisse le connaître même si je n’ai pas mon gestionnaire de mot de passe. J’utilise Dashlane, y’a une app mobile.
#66
#67
Même banque, et pourtant j’ai 8 chiffres ^^
" />
“L’avantage”, c’est que l’accès au compte est bloqué au bout de 3 tentatives erronées … Ce qui, mine de rien, laisse quand même quelques chances aux pirates, ou pire, la possibilité à n’importe qui de bloquer l’accès à ton compte.
#68
Moi j’ai débuté par Saucisse, puis 2Saucisses, puis Aligot2Saucisses et là j’en suis a Aligot2SaucissesMarcillac. Je suis blindé
" />
#69
#70
Le jour où on pourra avoir les mot de passe en Kanji , on sera tranquille.
#71
Les mots de passe complexes, c’est bien mais c’est aussi parfois du boulot pour la DSI.
" />
Récemment un service de ma boite a du déménager en urgence suite à un incendie dans leur locaux: sur les 136 utilisateurs de ce service, nous avons du réinitialiser 127 mots de passe qui n’étaient connus que sous forme de post-it posés quelque part sur le bureau. Ca prête à rire quand même…
Finalement, la DSI a décidé d’ajouter une fonction “mot de passe oublié” à cette application, on ne sait jamais
#72
#73
@G1MdpCkuRiSéSurNextInpact@
😅
#74
#75
Un mot de passe c’est du flanc, du virtuel, pour moi c’est 2 step login partout !! mon tel y’a que moi qui le touche
#76
#77
#78
#79
Je reprends mon message précédent, petit problème de formatage:
Un vrai bonheur ?
Pas convaincu, sont souvent victimes de choses pas super super .. (euphémisme):
La sécurité de LastPass compromise, changez votre mot de passe maître
LastPass a corrigé deux importantes failles de sécurité
Quand il y en a 2 ou 3 officielles, c’est qu’il y en a d’autres ….
#80
#81
c’est pour ça que je reste sur une vieille version de Password Manager de Kaspersky qui a sa bdd en local au lieu de passer sur la plus récente qui est chez eux ^^
#82
#83
Choisir un bon mot de passe : les règles à connaître, les pièges à éviter
ça a peut être déjà été dit dans les commentaires précédents, mais l’hygiène informatique n’est pas uniquement côté utilisateur. Côté éditeurs, ya aussi de gros efforts à faire : les site qui imposent que des chiffres ou limitent en nombre de caractères (alors que si c’est bien fait, qu’il fasse 1 a 2^10, il est chiffré en une chaîne dont la longueur n’est pas du ressort de l’utilisateur) mettent à mal les algos perso et autres technique pour sécuriser tout en mémorisant correctement son mot de passe.
Par exemple améli… 8 chiffres
Ah et sans doute déjà dit aussi : à site/compte jetable, mot de passe jetable…
#84
#85
#86
Je m’attendais à la remarque, je me trompe en permanence entre chiffrage et cryptage 
" />
#87
#88
#89
Les mots de passe, c’est comme les brosses à dents…
(dicton populaire)
#90
#91
Sauf que ton mot de passe KeePass, tu l’entre pour tout. Ce qui n’est pas le cas d’une gestion mot de passe par mot de passe.
Les extensions navigateurs détectent les keylogger ?
Bref, chacun son truc. Perso, je préfère ne pas coller des mots de passe dans un Cloud :)
#92
#93
Perso j’ai une brosse à dent à la maison, une au boulot et une dans la trousse de voyage.
Et j’ai a peu près la même politique pour mes mots de passe (perso, boulot, et temporaire)
#94
Keepass est en local.
Pour l’extension je ne vois pas le rapport ?
#95
#96
je l’entre une fois, il me le redemande au bout de 5min.
" />
j’utilise pas d’extension navigateur.
sans compter que je l’utilise pas pour les sites non sensibles comme nextinpact.
du coup j’utilise keepass assez peu.
quant au Cloud, le mec qui arrivera à me péter mon compte google avec le mot de passe de barjot (keepass) + 2FA, et ensuite à péter la base keepass en AES256 (et encore maintenant on peut passer en chacha20) avec une grosse phrase de pass de taré, il bosse à la NSA, au GCHQ ou au FSB. et encore.
du coup il entre clairement pas dans mon threat model. ^^
mais toi, continue à utiliser des pass de 12 car que tu gardes dans ta tête.
moi à côté j’ai du 50 car + entropie sur tout le spectre ascii (quand y’a droit évidemment).
#97
Je pense que @dvr-x voulais savoir comment tu transposais ton mot de passe depuis Keepass vers le champs de login.
Edit : d’ailleurs, si je comprend bien, pour récupérer ton mot de passe tu dois :
1- Déverrouiller ton compte Google avec un mot de passe (qui est sauvegardé où du coup ?) + ta clé U2F
2- Déverrouiller ton compte Keepass
3- Chercher le site
4- Copier/recopier/lire/mémorisé (suivant ta méthode)
Et du coup ton keepass est sauvegardé dans le cloud non ?
J’ai vu plus user friendly comme méthode, je parle même pas de l’usage de cette solution depuis un mobile.
#98
Sinon, la première strophe de l’hymne national belge, version intégrale en flamand, écrite à l’envers, en cyrillique et en leetspeak, c’est sécurisé comme mot de passe ?
" />
" />
" />
" />
" />
#99
#100
#101
#102
C’est rigolo cet article, enfin ce marronnier.
Parce qu’en fait, la majorité des mots de passe sont inutiles et n’apportent rien à l’utilisateur. C’est donc normal de mettre un mot de passe simple et WTF.
#103
J’dis ça, j’dis rien mais la version en flamand de vers l’avenir “naar wijd en zijd” est encore moins connue
" />
#104
“TAPER CODE” => plusieurs jours/semaines à chercher le code pour renter dans le labo
" />
#105
#106
#107
je viens de tester l’option anti-keyloggers: ça fonctionne très bien sur un login google, à priori ça doit marcher partout sur un navigateur.
d’ailleurs c’est ce qu’ils disent à propos de cette option:
When can Two-Channel Auto-Type Obfuscation be used?
TCATO cannot be used with all windows. The target window(s) must support clipboard operations and navigation within edit controls using arrow keys. Additionally, the target user interface must not contain automation features like jumping focus when maximum length of a text box is reached (as seen in registration number dialogs for example).
Rules of thumb:
. Can be used in:
Browsers.
Windows programs with standard text boxes.
.Can not be used in:
Console-based applications (interactive terminals, …).
Games.
Because it doesn’t work with all windows, it’s an opt-in feature for each entry. You have to enable it explicitly on the ‘Auto-Type’ tab page in the ‘Edit Entry’ dialog.
#108
à mon avis il doit stocker une empreinte des 3 derniers caractères pour vérifier.
" />
mais bon tout est open-source, suffit d’aller voir, sorry j’ai pas le temps, là.
#109
Mais du coup il existe peu d’empreintes et donc une attaque par brute force / rainbow table dessus doit être assez facile à réussir.
Je ne suis pas expert, mais ça me semble être une grosse faille de sécurité…
#110
Ha ça j’aime bien 
" />
#111
non le bruteforce peut pas marcher, y’a qu’un essai possible pour l’authentification rapide (avec les 3 derniers car). c’est juste pour éviter de ressaisir toute la phrase de pass (en particulier sur mobile où c’est ultra chiant de saisir une grosse phrase de pass avec les car spéciaux et tout).
" />
càd qu’il faut déjà l’avoir saisie entièrement avec succès pour activer cette fonctionnalité.
fonctionnalité qui est d’ailleurs en opt-in.
t’inquiète, vu les mecs qui utilisent keepass/keepass2android, si c’était foireux on serait au courant.
edit: et cette fonctionnalité est aussi paramétrable, ie tu peux dire que tu veux saisir par exemple les 5 ou 10 derniers caractères au lieu des 3 par défaut. mais c’est pas forcément le but, c’est juste une option de confort.
#112
À force, il y a des mots de passe que je connais pour les sites les plus utilisés… Pour les autres, ben… Je ne sais pas m’y connecter tant que je ne suis pas à la maison
" />
#113
#114
#115
#116
#117
#118
#119
non mais de toute manière keepass a une grosse faille de sécu, il n’est pas incrackable par un ordi quantique.
du coup moi je laisse tomber, je vais stocker tous mes pass de 25car imbitables dans mon cerveau.
#120
#121
#122
Le numéro n’est pas liée a la carte SIM, donc si tu le perd t’as seulement a demander a ton opérateur de t’envoyer une nouvelle sim et de bloqué l’ancienne
#123
#124
Moi j’ai résolu le problème: je n’ai qu’un mot de passe pour tout mais il est impossible à trouver. Même en étant méga intelligent aucun hacker ne pensera à taper Edxffeee125888fdfeffdXfdfDde
Ha ha ha je suis super malin