![[Insolite] Top 25 des pires mots de passe de l'année et... certains font peur](https://cdn.next.ink/inpactv7/data-next/images/bd/wide-linked-media/0.jpg "[Insolite] Top 25 des pires mots de passe de l'année et... certains font peur")
SplashData, une société spécialisée dans la gestion des mots de passe, vient de publier son rapport annuel sur les pires d'entre eux... avec quelques perles à la clé. Si un des vôtres fait partie de ce top 25, il est plus que temps d'en changer.
Afin de créer sa liste, SplashData annonce avoir pris en compte les millions de mots de passe mis en ligne par divers pirates informatiques. Il faut dire que l'actualité a été particulièrement chargée avec des fuites provenant de nombreuses sociétés. C'est par exemple le cas des blogs d'AMD, des forums de NVIDIA et de Steam, de certains comptes utilisateurs Dropbox pour ne citer qu'eux.
Password, 123456 et 12345678 arrivent toujours en tête, inquiétant non ?
Si le classement est donné, nous n'avons par contre pas l'occurrence pour chacun d'entre eux, ce qui est bien dommage. Il aurait en effet été intéressant de savoir combien de fois le mot Password avait été utilisé.
Quoi qu'il en soit, voici sans plus tarder ce top 25 :
- password
- 123456
- 12345678
- abc123
- qwerty
- monkey
- letmein
- dragon
- 111111
- baseball
- iloveyou
- trustno1
- 1234567
- sunshine
- master
- 123123
- welcome
- shadow
- ashley
- football
- jesus
- michael
- ninja
- mustang
- password1
Sans surprise, le trio de tête est inchangé par rapport à l'année dernière, ce qui serait presque plus inquiétant qu'insolite. Peu de changement dans le milieu du tableau, mais nous avons cinq nouveaux arrivants en fin de liste : welcom, jesus, ninja, mustang et... password1 une variante du numéro, tout aussi peu sécurisé.
Pour le reste, il s'agit souvent de variante anglo-saxonne : letmein pour let me in ou laisse-moi entrer, qwerty pour azerty, trustno1 pour trust no one ou ne faites confiance à personne. Nul doute qu'en France nous devons également avoir nos perles du même acabit.
Quoi qu'il en soit, un rappel de base est important : mélanger au maximum les caractères spéciaux, les chiffres et les lettres, ce qui le rendra d'autant plus difficile à trouver.
En manque d'inspiration ? Des générateurs existent
Si vous manquez toujours d'inspiration au moment de choisir un mot de passe, vous pouvez toujours vous aider d'un générateur automatique. Il existe également des gestionnaires qui peuvent retenir pour vous vos différents identifiants afin d'éviter d'utiliser le même sur différents sites.
Vous pouvez également vous rendre sur notre forum ou vous trouverez un sujet dédié à la gestion des mots de passe.
Crédit image : Generateurdemotdepasse.com
En effet, dans cette situation, il suffit qu'un de vos comptes soit compromis pour que les autres le soient aussi avec parfois des répercussions importantes (accès aux mails, aux réseaux sociaux, aux messageries instantanées, etc.). Cette méthode est souvent exploitée par les pirates qui lorsqu'ils tombent sur une liste d'identifiants avec mot de passe peuvent rapidement les tester sur des sites de renom comme Facebook, Google, Twitter, etc.
La prudence est donc de mise : il en va de la sécurité de vos données et de la confidentialité de votre vie personnelle et professionnelle.
Commentaires (124)
#1
Je me demande quand même quel est le pire des trois, entre qwerty, 123456 ou password
#2
Les mots de passe avec des majuscules, minuscules, caractères spéciaux, c’est bien, mais c’est surtout pour qu’un humain ne le trouve pas facilement, ou en cas d’attaque par dictionnaire de mots de passe.
Sinon, pour se prémunir du brute force, un récent rapport (plus le lien) montrer qu’il était performant de prendre 3 mots, pour former une sorte de phrase sans sens profond, mais qui permettait de la mémoriser facilement pour un humain et avait la force de réprésenter un grand nombre de caractère, donc forcément très longue à découvrir par cette méthode.
Edit : pas un rapport, une chtite BD (http://xkcd.com/936/)
EDIT modération : correction du lien
#3
Faut quand même se demander combien de ces mots de passe sont des mots de passe de compte créé par des bots…
" />
Parce que bon, je peux comprendre pour les suites de lettres et chiffres du genre “123456”, “azerty”, qwerty”, etc… mais “monkey”….
#4
Master of password
" />
#5
Pour rappel, un mot de passe complexe n’est pas forcément plus sécurisé qu’un mot de passe potentiellement plus simple à retenir :http://xkcd.com/936/
" />
[EDIT] roasted
#6
#7
De toutes les façons moi mon mot de passe c’est “incorrect”.
#8
les mots de passe nécessitant un copier/coller ne sont ils pas moins sécurisés?
on m’a dit qu’on pouvait avoir accès au tampon du copier par certains exploits sur un navigateur. est ce vrai?
#9
#10
#11
Fake ! Y’a pas ‘admin’…
" />
#12
FreeTaxINside, c’est bon ?
" />
#13
Je reconnais sans surprise celui de mon taff dans la liste, pour ouvrir la session sur le domaine…
Interdiction absolue de vouloir l’individualiser ce mdp. C’est le même pour tout le monde, et ça doit le rester.
#14
En 26ème place il y a celui de Tolor
" /> qui est microsoft 
" />
#15
Mon c’est 8 petites étoiles :
" />
" /> (Free notamment)
Et dire qu’il y a des sites pour imposer une taille maximale aux mots de passe
#16
comment un truc comme “letmein” peut être PLUS COURANT que 1234567 ?!
#17
je trouve bizzare de pas voir changeme dans la liste
#18
le mien c’est “jesus ninja”
" />
#19
IAmReady ou JeSuisPrêt
" />
#20
Quand je vois ça je me dis qu’il y a des gens pas malin…
Par contre, ce qui me gène c’est par exemple que Google interdise les accents et caractère spéciaux…
#21
finalement le mdp “admin” utilisé pour securiser le serveur du logiciel de securisation d’orange etait super secure
" /> 
" />
#22
Un de mes mdp est un endroit sur Terre que j’ai visité et beaucoup aimé, couplé à la date précise où un certain immeuble parisien a été démoli. Même mes meilleurs amis ne trouveraient pas celui là.
" />)
(N’essayez pas…
#23
#24
Tomedessap est-ce déjà mieux ?
" />
#25
J’ai mieux, la Caisse d’Epargne, avec 4 chiffres seulement.
#26
#27
toutes les cartes bleues, c’est 4 chiffres aussi :p
#28
cic, pareil, c-est 6 chiffres. Supppeeerrr }}
" />
Pour les CB, c-est 4 chiffres …. en france ;) Mes CB suisses sont a 6 chiffres, c’est déja mieux
#29
#30
labanquepostale 6 chiffres, a l”epoque cela m’avait choqué, je leur ai ecrit pour avoir en plus des lettres, la réponse c’etait genre, mais non c’est parfaitement securisé la page est chiffré avec une clé 256 bits lors de l’envoie, c’est suffisant les 6 chiffres.
#31
Que ce soit “password” ou n’importe quel mot du dictionnaire, c’est quasiment la même chose. Dans les 2 cas, cela prends quelques secondes à trouver (tout dépend qui on met entre la chaise et l’ordinateur)
" />
#32
#33
moi je veux bien mettre 4 noms simples mais je connais pas non plus beaucoup de sites où tu peux mettre un mot de passe de 25 caractères
" />
#34
Il faut peut être se méfier des générateurs en ligne.
Le truc c’est que quand un site stocke le mot de passe, au pire il le stocke en clair, ensuite un peu mieux il stocke un hash et encore mieux il sale le mot de passe avant de le hasher.
Le problème vient du fait que beaucoup de sites se contentent de hasher le mot de passe. Or si un petit malin fournit un site pour générer des mots de passe, il peut en profiter pour rajouter différentes variantes du hash de ce dernier dans une petite base de données perso. Du coup quand il attaquera un site internet et qu’il tombera sur une base de données de mots de passe hashés, il pourra gentiment vérifier si par hasard il a pas déjà vu ces empreintes passer sur son site de génération de mot de passe.
Cette technique est potentiellement faillible. Pour plus de sécurité il vaut déjà mieux un générateur offline qui est coupé d’internet par un pare feu.
#35
M4r13-Fr4nc3-M
" />
#36
#37
Cette liste est significative de ce qui reste de place dans le cerveau des franchouiés. Et puis, hormis pour les banques, je suis presque certain que beaucoup s’en foutent des MDP, un speudo leur suffirait amplement.
" />
Génération “je partage tout !” exhibitionniste facebookée.
#38
#39
#40
#41
Le problème n’est pas le mot de passe. Tous le monde veut un mot compliqué, mais le problème c’est de pouvoir s’en souvenir. ET il y a un autre problème de taille, il en faut plusieurs avec la généralisations des sites et autre forums. Certain n’accepte en plus qu’un nombre minimum de caractères ou (et) de chiffres.
Cela devient vite un problème surtout pour les sites ou l’on va pas régulièrement . Ou j’ai mis ce putain de mot passe .. Et le casse tête empire si on a plusieurs boites mail pour l’envoie du mot passe perdu, boite mail qui demande elle même un mot de passe pour y avoir accès ….
Et moi j’aime pas laisser mes mots passes en mémoire dans le navigateur, pas trop confiance . Surtout que c’est le meilleur moyen de l’oublier.
Je pense avoir trouvé une solution en utilisant toujours le même mot passe que l’on connait par cœur, qu’on duplique en deux ou trois mots de passes en ne changeant qu’une lettre ou un chiffre. Comme ça on plusieurs mots de passe , mais jamais le même .
#42
#43
#44
#45
#46
#47
Mouais, après faudrait voir les mots de passes des sites “sensibles”, c’est à dire compte primaire d’email, ou avec des données bancaires ou personnelles…
" />
Parce que quand on s’inscrit sur un forum sur lequel on sait qu’on ne reviendra jamais, un mot de passe hyper compliqué ça ne sert à rien!
Et les password-lockers c’est bien, mais ça implique d’être sur sa machine quand on veut accéder au site, si on est chez quelqu’un, sur son smartphone ou autre bah niqué!
Donc l’histoire des 1 mot de passe par site c’est gentil, mais à part certains geeks qui aiment retenir 50 mots de passe complètement différents, personne n’aime ça!
Vivement l’identification universelle
#48
#49
quitte à avoir 1 mpd par site (pour les sites où l’éventuel piratage du compte est indésirable), perso je suis plus branché sur une règle que j’invente dans mon coin, que je mémorise facilement et que j’applique à chaque site
exemple bidon :
1ère + dernière lettre du pseudo + thême du site (PCI = informatique par ex) + jour/mois de naissance
= LCINFORMATIQUE0511
on peut en inventer à la pelle, le tout c’est de mémoriser 1 règle et de s’y tenir (et que le site en question en soit pas limité à 4 ou 6 caractères genre les banques…)
#50
#51
Generer un mot de passe, c’est bien, le retenir c’est mieux!
" />
#52
#53
#54
#55
pour ceux qui n’ont pas de mémoire il reste l’identification via USB : Empreintes digitales, reconnaissance crachatale ou la très discrète reconnaissance testiculaire
" />
#56
#57
c’est pas faux
" /> mais il faut avoir accès au mot de passe, tu ne pourras pas le deviner, ça limite la casse déjà
#58
#59
#60
#61
#62
Tiens, il n’y a pas admin, root et myroot. Je ne crains rien
" />
#63
#64
#65
Pour les CB, ça n’a quand même rien à voir : Environ une chance sur 3333 de trouver le mot de passe en 3 essais, ça reste un rapport correct entre sécurité et facilité à retenir.
#66
Un truc chiant si on veut utiliser une règle comme celle de xkcd ou lomic2 pour avoir un mot de passe résistant mais facile à retenir, c’est quand on t’oblige à le changer fréquemment.
C’est par exemple le cas pour le réseau informatique à mon boulot. Il y a quelques années, il suffisait que le nouveau mot de passe soit différent du précédent, donc on s’en sortait avec deux mots de passe. Plus tard il devait être différent des deux derniers, puis ça a augmenté, en même temps que diminuait la période entre deux changements imposés.
Aujourd’hui il faut changer tous les mois, et le mot de passe doit être différent des 6 derniers. Résultat : tout le monde utilise un truc du genre toto1, toto2, toto3 etc.
#67
#68
#69
#70
L’abus de sécurité entraîne inévitablement ce genre de problème… A force les gens finissent effectivement par foutre toujours le même mot de passe, avec un suffixe correspondant au mois ou un numéro d’ordre… Ou pire, ils finissent par le marquer sur un post-it collé à l’écran.
#71
#72
#73
Pour ceux qui ont plein de mots de passe très long : KeePass, c’est très bien (et gratos)
" />
#74
#75
#76
#77
#78
Information à destination des abonnés SFR ADSL / Fibre:
" />
Le mot de passe de votre réseau sans fil est lisible en clair par la boite. Évitez donc d’utiliser un mdp servant également à d’autres usages.
#79
#80
#81
#82
#83
#84
Vous voulez faire quoi avec un mot de passe de banque en ligne ? Vous pouvez juste consulter et faire des opérations déjà autorisées ou sans danger. Un virement ? L’ajout de bénéficiaire nécessite un numéro envoyé par SMS, donc les seuls virements possibles sont vers des personnes déjà ajoutées. Recevoir un chéquier ? Il est envoyé à l’adresse du client.
Après, oui, malheureusement, la personne malveillante peut foutre le bordel, mais ça reste assez peu intéressant pour elle.
J’aime bien le système de mot de passe d’ING sinon : 6 chiffres, mais seuls 3 sont à rentrer (choisis par le système évidemment). Même si une personne arrive à capturer la saisie, il ne pourra pas le réutiliser (en tout cas rapidement).
A l’opposé, La Poste a une fausse bonne idée : le clavier virtuel sans clic. Il faut pointer sur les nombres pour les sélectionner. Très bien, sauf que ça prend un temps fou au final…
Sinon KeePass : que du bonheur. L’utiliser pour générer les mots de passe et les sauvegarder de manière sécurisée (AES avec un mot de passe maitre ou un fichier clé). Des logiciels compatibles existent pour presque tous les OS (bureau et mobile).
De toute façon, a-t-on vraiment besoin de retenir les mots de passe de la plupart des sites ? Si le pirate arrive à accéder à notre compte mail, il peut réinitialiser les mots de passe de la plupart des sites. Donc il faut que les mots de passe soient suffisamment complexes (force brute), suffisamment différents, et que ceux pour les comptes mails soient en plus retenus. Vu qu’il est difficile de retenir beaucoup de mots de passe, autant ne pas retenir ceux de sites non critiques.
#85
@moggbomber : tout est possible. Une faille sur ton navigateur pourrait permettre de récupérer le presse-papier (c’est pour ça que KeePass l’efface au bout d’un collage ou de 10 secondes). Une autre de récupérer tous les cookies (donc de réutiliser la majorité des comptes où tu es connecté). Une troisième de récupérer ton fichier de mot de passe sur le disque et le fichier des auto complétions de ton navigateur. Ou tout simplement d’installer un malware. Bref, de toute façon tu te feras avoir un jour ou l’autre.
D’ailleurs, en parlant d’auto complétion, ça m’énerve cette mode de mettre autocomplete=false sur les balises input ! Ça empêche le navigateur de sauvegarder le login/MDP (à moins de modifier la source, ce dont je ne me gêne pas de faire). Si je choisis de sauvegarder le mot de passe dans mon navigateur, c’est mon droit ! Au contraire, ça motive plus à mettre un mot de passe solide (pas besoin de le retenir et au pire il suffit de le régénérer avec mot de passe oublié). Croire qu’on va forcer les gens à utiliser des mots de passe parfaits de cette manière…
#86
#87
Y’a pas “incorrect” (Your password is incorrect.)
" />
#88
Toutes ces histoires de mots de passe, ça ne manque pas de sel.
" />
#89
Bizarre, il y a ninja, mais pas niaque.
" />
#90
Moi quand on me demande un mot de passe admin, je réponds que “je sais pas”, ou alors “y’en a pas”, ou bien “tu l’auras pas”.
" />
C’est dingue, ça marche à chaque fois
#91
Quoi qu’il en soit, un rappel de base est important : mélanger au maximum les caractères spéciaux, les chiffres et les lettres, ce qui le rendra d’autant plus difficile à trouver.
Ce n’est pas le meilleur des rappels de base.
a) Il est bien plus important d’avoir un mot de passe long que d’avoir un mot de passe court avec caractères spéciaux.
b) Il est bien plus important d’avoir un mot de passe mémorisable et jamais enregistré/écrit nulle part que d’avoir un mot de passe complexe enregistré/écrit quelque part
c) Enfin on arrive en troisième place au conseil sur les caractères spéciaux : mais on n’est pas obligé d’en avoir tout un tas ; il en suffit d’un seul qui sort du set Ascii ou Latin, par exemple un caractère hébreu ou un kanji ou un hiéroglyphe.
Ce qu’il faudrait réaliser un jour, c’est une étude de ces sites qui t’empêchent d’avoir un mot de passe efficace :
#92
#93
#94
12345
C’est surprenant ça: c’est la même combinaison que sur mes bagages !
#95
#96
#97
#98
#99
#100
#101
Le mot de passe que j’utilise tout le temps : Pc1mp@cT
" />
#102
#103
#104
#105
#106
#107
echo monpassword | md5sum
je ne connais pas mon “vrai mot de passe”, mais je sais le retrouver
#108
mod me la pete engaged
mot de passe gmail qui fait 22 characteres, ce n’est pas une phrase, a des chiffres, des lettres, des signes, des majs,
connu parcoeurs, un peu pres pareil pour FCBK
sans generateur de mdp
mod me la pete removed
#109
* Contrairement à PCI, je déconseille les générateurs. Je préfère la méthode des chaussettes de l’archiduchesse. Comme un générateur sort quelque chose d’aléatoire, c’est difficile à retenir. Ca peut contraindre à noter le mot de passe en clair quelque part.
Se choisir une phrase mémorable, et ne prendre que les premières lettres des mots :
les chaussettes de l’archiduchesse sont elles sèches
* Ajoutez des noms propres dans votre phrase mémorable, et gérer les majuscules avec ça.
les 47 chaussettes de Mickey sont elles sèches
* A cette méthode, on peut ajouter des chiffres et des caractères spéciaux. A vous de mixer ces chiffres mémorables et ces caractères à votre convenance.
les 47 chaussettes de Mickey sont elles sèches
A ce moment, vous avez un mot de passe robuste et facile à retenir. Il reste encore le risque qu’un mot de passe en clair soit en fuite. Si vous mettez le même partout, avec la même association d’adresse mail/mot de passe, vous êtes mal.
Comme la plupart des sites ont des réactivations de mots de passe basé sur un envoi de mail, il faut surprotéger ses boîtes mail. Utilisez un mot de passe spécifique par boîte mail.
* On peut aussi ajouter une ou plusieurs lettres en fonction du site visité, on peut ainsi garder son pattern mémorable, et éviter que les autres comptes soient compromis en même temps.
PC Inpact : P#motdepasse
Google : G#motdepasse
Placer cette lettre où bon vous semble.
* Noter un reminder qui permet de retrouver ses mots de passes. Même si on vous vole votre ordinateur avec ce fichier, on ne doit pas pouvoir retrouver vos mots de passes.
identifiant/mail utilisé
password : mickey, 47
#110
Sauf si le fichier est dans un conteneur genre TrueCrypt utilisant la combinaison de KeyFiles (ou mot de passe, voire les 2 combinés) pour ouvrir le conteneur.
Perso c’est ce que j’utilise chez moi et au boulot depuis 5 ans maintenant et sans problème.
#111
#112
#113
Faut écrire en SMS !
" />
pcicélEmeyeurcitEDumOnd2 !
#114
#115
Tiens au fait, pour complexifier la bruteforce, je me suis souvent posé une petite question :
existe-t-il des sites (connus) qui, passé un certain nombre d’essai d’entrage de mot de passe, répondent systématiquement “c’est faux”, le compteur se réinitialisant une fois le bon mdp entré ?
par exemple ton mot de passe est “password” :
premier essai “passwrd” -> incorrect
2e essai “psswrd” -> incorrect
3e essai “passsword” -> incorrect et activation de la protection
4e essai “ppassword”-> incorrect
5e essai “password” -> incorrect et désactivation de la protection
6e essai “password”-> correct.
Dans les fait, c’est un moyen de contrôle tout con et ça double mathématiquement la durée d’une brute force (puiqu’il devra bégayer toutes ses tentatives) pour l’ajout de quelques lignes de code
N’étant pas un génie révolutionnaire, je me doute que cette solution a été envisagée et écartée. La question étant : pourquoi ?
#116
#117
Moi je choisi une base qui satisfait les critères (min-MAJ-chiffres-spéciaux) et j’ajoute le nom du service pour lequel je créée un mdp.
=> Facile de créer et retenir plein de longs mots de passe secure ;)
#118
#119
#120
#121
#122
C’est bizarre, il manque SDFGHJKL qui fonctionne en AZERTY comme en QWERTY, et même en QWERTZ…
#123
Ouf, il n’y a pas le mien : azerty
#124
ILS ONT OUBLIER admin en user et admin en password