On ne le répétera jamais assez : choisir un mot de passe suffisamment sécurisé est important afin de garantir un minimum de sécurité à vos données, mais les habitudes sont tenaces... SpashData dévoile les 25 pires mots de passe de 2015 et certains effraient par leur simplicité
Chaque début d'année, SpashData propose un classement des pires mots de passe de l'année qui vient de s'écouler. Pour mener à bien son étude, explique qu'elle analyse les bases de données qui ont été dévoilées sur Internet. Elle annonce avoir ainsi récolté pas moins de deux millions de mots de passe ; il faut dire que l'année 2015 a eu droit à son lot de failles et de fuites de données.
Des mots de passe plus longs, mais pas forcément plus sécurisés
La société note tout d'abord une tendance à la hausse de la longueur des mots de passe « démontrant peut-être un effort à la fois des sites et des internautes d'être plus sécurisés ». Cependant, certains sont tellement simples qu'ils n'apportent finalement aucune sécurité supplémentaire. C'est notamment le cas de 1234567890, 1qaz2wsx et qwertyuiop (les deux derniers sont des suites de touches qui prennent plus de sens sur des claviers QWERTY).
Voici sans plus tarder la fameuse liste :
- 123456
- password
- 12345678
- qwerty
- 12345
- 123456789
- football
- 1234
- 1234567
- baseball
- welcome (nouveau)
- 1234567890 (nouveau)
- abc123
- 111111
- 1qaz2wsx (nouveau)
- dragon
- master
- monkey
- letmein
- login (nouveau)
- princess (nouveau)
- qwertyuiop (nouveau)
- solo (nouveau)
- passw0rd (nouveau)
- starwars (nouveau)
Les 10 premières places sont occupées par les mêmes mots de passe que l'année dernière (certains sont dans le top 10 depuis plusieurs années), avec simplement quelques changements dans l'ordre, tandis que les cinq derniers sont tous des nouveautés de 2015. On note également une certaine influence du retour de Star Wars avec des références au film aux 23e et 25e places.
Les recommandations de l'ANSSI
Dans un guide dédié aux bonnes pratiques de la sécurité informatique, l'ANSSI donne quelques règles de base sur la gestion des mots de passe. L'agence nationale de la sécurité des systèmes d'information recommande d'un choisir un avec « 12 caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux) n’ayant aucun lien avec vous (nom, date de naissance…) et ne figurant pas dans le dictionnaire ».
De plus, et comme nous le rappelons régulièrement, il faut utiliser « un mot de passe unique pour chaque service sensible » afin d'éviter des piratages en série en cas de fuite sur l'un d'entre eux. Mais l'agence recommande aussi de « ne pas utiliser les outils informatiques permettant de stocker les différents mots de passe ». Une annonce qui résonne comme un écho à l'histoire de Lastpass qui serait sensible à une attaque par phishing.
Sachez enfin que si vous êtes en manque d'inspiration pour trouver un mot de passe suffisamment sécurisé, il existe des générateurs aléatoires de mots de passe en ligne (ici et là par exemple). Le problème étant qu'il est toujours possible qu'ils enregistrent les mots de passe ainsi générés, même si les deux sites s'en défendent ouvertement. Dans tous les cas, cela peut vous donner des pistes afin de trouver le « bon » mot de passe.
Comme toujours, vous pouvez également demander de l'aide sur notre forum.
Commentaires (147)
#1
Haha comme d’hab ^^
#2
Ca sert à quoi de mettre des mots de passe ?
" />
#3
Et sinon, ne stockez pas vos mots de passe sur des service en ligne…
LastPass hacké avec une simple attaque phishing
#4
Le problème est qu’avoir un mot de passe sophistiqué pour chaque connexion différente et les mémoriser sans coffre-fort (1Password, StickyPassword, Dashlane etc.) n’est rapidement plus tenable.
Donc l’ANSSI est bien gentille mais ses conseils sont inapplicables in fine.
#5
Une base de mot de passe commune avec un fin variable suivant le site ?
Par contre je ne sais pas ce que ça vaut si un des mots de passe fuite …
#6
C’est bon ! On n’est pas dans le top 25, on est protégés !
#7
Ils indiquent toutefois dans leur guide : “Il est préférable de ne pas recourir aux outils de stockage de mots de passe. A défaut, il faut s’en tenir à une solution ayant reçu une certification de premier niveau (CSPN)”
KeePass a reçu cette certification (entre autres), la liste est ici.
Perso j’utilise 1Password synchronisé sur Dropbox, car j’ai jamais réussi à avoir une synchro efficace avec KeePass sur Windows, OS X et iOS en même temps.
#8
#9
C’est bon, il n’y a pas Sarkozy2017.
" /> Je peux le garder.
#10
“password”
" />
C’est mon mot de passe sur notre portail client
(Pas de HTTPS et MdP stocké en clair en base, je ne vais pas m’embêter à prendre un mot de passe compliqué)
#11
#12
Prends Sarkozy2017LaFrancePourLaVie tu seras plus “secure”…
#13
login : admin
" />
pwd : password
Les identifiants de tous nos équipements réseau actifs
D’après le DSI, c’est pour éviter le stress de devoir retrouver/taper les identifiants si un problème venait à se produire. On est déjà dans le stress dans ces situations là, il faut simplifier au maximum.
#14
#15
Heu… le 15ième est quand même corsée : “1qaz2wsx”. Il a fallut que je regarde sur un clavier qwerty : “QAZ” correspond à la premier “diagonale” et “WSX” à le seconde. Il n’est pas si mauvais en soit (en tout case bien meilleur qu’un qwertyuiop”) il introduit des chiffres entre 2. Il n’a rien d’évident, je suis assez étonné qu’il soit aussi haut dans le classement.
#16
#17
Je me faisais la même remarque…
#18
Quand tu sais que les chiffres sont ce qui sortent par défaut sur le clavier qwerty (pas besoin de faire shift), ça revient au même que qwertyuiop, sauf que c’est avec les deux premières “colonnes” au lieu de la première “ligne” :)
#19
Toujours au taf : mot de passe TrueCrypt de boot basé sur le nom DNS de la machine, genre ch1ffreNOM-DU-PC
" />
" />
Ah oui ! Il y a une étiquette avec le nom de la machine collé sur le boitier…
#20
auto:root
#21
#22
#23
#24
#25
en gros c’est les 8 premières touches d’un clavier qwerty, dans un ordre naïf (haut en bas et gauche vers droite) c’est très facile à se rappeler.
J’ai eu des clients qui utilisaient la même méthode mais avec les 9 premières lettres d’un AZERTY : “azeqsdwxc” … bref … c’est plus moche qu’un 123456 mais tout aussi facile à deviner
edit : grilled
#26
qui a été hacké dernièrement avec Keefarce :https://github.com/denandz/KeeFarce
#27
Quitte a utiliser LastPasse, KeePass ou autre, je suggère toujours à mes amis tête de linottes de le faire, mais de rajouter un autre mot unique en combinaison (mais de toute façon générer le mdp, car sinon c’est to easy)
Par exemple, si le mdp facebook généré sur keepass est 12rt45yu et pour google 5es58r4z5 (je tape au pif là ^^), autant rajouter un mot arbitraire unique sur chacun des mdp –> coucou12rt45hibou pour fb et coucou5es58r4z5hibou pour google (à mon sens, on gagne beaucoup en sécurisation, à condition que ce ne soit pas le code de dévérouillage du coffre fort)
#28
toi t’as pas lu l’excellent topo de comment créer un mot de passe sécurisé et différent pour chaque site sur le forum
#29
de base lastpass c’est mot de passe aléatoire avec majusucule et mot spéciaux sur 14 caractères donc c’est ecore plus sécurisé que ce que tu proposes au pire tu allonges le mot de passe si tu veux que ca soit plus sécurisé…
#30
#31
Bah y a aussi pas de mot de passe…
Déjà vu pas mal de fois en milieu professionnel, ou le partage de mots de passe (avec des mots de passe “perso”, facile après de faire mumuse avec leurs compte email/face de boucs…)
#32
bande de naze il faut au moins plusieurs couple de mots de passes pour différents sites
" />
allé, je vais être gentils je vous en donne 2 bons que j’utilise très souvent et jamais j’ai été piraté!!!
admin:admin
test:test
#33
#34
“elle analyse les bases de données qui ont été dévoilées sur Internet”C’est normal que les mots de passes qui ont fuités sur le net soient les plus simples, ca ne veut pas forcément dire qu’ils sont les plus utilisés.
Ca ne peut pas être en partie les mêmes bases que les années précédentes (genre des mots de passe qui n’ont pas été changés car abandonnés)?
#35
C’est mon tatouage.
#36
#37
yep, mais le gars qui récupère ta base, si c’est écrit 1p@ssw0rD comme mot de passe pour un site, même avec les maj et les chiffres comme présentement, il les as. Alors que si tu laisse 1p@ssw0rD dans ton coffre fort mais que tu combines avec le mot choisi comme mot de passe commun, par exemple T@gaz0k, il ne saura jamais que le vrai mot de passe pour le site est T@gaz0k1p@ssw0rD
#38
Effectivement j’avais pas compris oui c’est une peu plus sécurisé :) (mêm si en combinant avec un site hacké tu peux vite comprendre la relation :p
Sinon à quand l’obligation d’implémentation de second facteur sur tous les sites sensibles (genre yubikey ? (qui n’est âs un second facteur fixe))
#39
#40
#41
c’est le pw voyont, j’aurais dû mettre root:auto
" />
#42
SarkoEstUnHonneteHomme est simplement le mot de passe le plus secure car le plus improbable pour 95% des français.
" />
#43
Toi, tu lis pas les commentaires du Figaro (pas le Gorafi, l’original). C’est pas rare de voir des gens l’affirmer (regarde ce qui se dit sur la news du livre de Sarko, y’a des gens prêts à l’acheter et le traiter comme leur nouvelle Bible).
" />
#44
“Why Choose for Lesser Evil” comme disaient les slogans dans le temps
" />
#45
Azathoth 2017 et 2022 (comme Absalom tiens
" />), 2027, …, 4 123 878 927, … 
" />
#46
J’ai environ 120 mots de passe en stocks (perso/boulot). Donc ça commence à faire, même en ayant une bonne mémoire (disons que j’ai en tête les 30 mots de passe les plus utilisés, pour les 90 autres c’est coton).
J’ai aussi une assez bonne méthode pour en fabriquer des compliqués mais mémorisables. Ce qui est plus difficile est de relier le bon mot de passe au bon site… :-)
Quant à Keepass, lorsque je l’ai essayé, je n’ai pas été convaincu (sans parler de Mono, pfff….)
#47
Moi, mon mot de passe est “introuvable” (merci Scènes de Ménage)
" />
#48
Pour un usage domestique, le papier et le crayon reste un bon moyen simple de stocker tes mdp sans que quelqu’un puisse les récupérer à distance. Il te suffit de bien ranger ton cahier.
" />
#49
#50
est-ce que je peux faire un procès à NXI pour avoir publié en clair dans cet article mon mot de passe ?
(bon ce qui fait plaisir quand même c’est que je suis bien classé)
surtout que je n’en ai qu’un seul et que je l’utilise sur tous les sites, y compris celui de ma banque.
#51
C’est une question sérieuse pour qui travaille ou connait un peu la problématique de la sécurité informatique !
ma réponse ? quasi à rien quand l’attaque est sérieuse.
#52
ou “interdit” (merci un ticket pour l’espace)
#53
Commentaire non valide :
Tout accès site web peut être compromis par une attaque de phishing. Lastpass n’est pas moins fragile ou fort que n’importe quel autre service en ligne (par exemple Gmail) sur la base de cette raison de phishing.
Si l’utilisateur est con et se fait avoir par un spam phishing, c’est un problème d’interface chaise clavier, pas de sécurité technique.
#54
Ca semble improbable que des mots de passe plus complexes soient autant partagés que ces mots de passe simples. Donc la liste des mots de passe les plus craqués doit correspondre sensiblement avec celle des plus utilisés. Sans compter que s’il y a des bases sans salage cryptographique parmi celles étudiées, on doit se rendre compte quand un hash est très utilisé mais pas craqué.
#55
“123456” qui a piqué le mot de passe de mes valises ?
#56
#57
Honnêtement, c’est encore le meilleur conseil qu’on puisse donner à quelqu’un de vraiment mal à l’aise avec l’informatique. Le mieux étant un papier dans le porte monnaie, qui reste un ustensile dédié à protéger des petits papiers de valeur dont tout le monde sait se servir.
#58
Ça me semble plus simple de foutre un keylogger dans la machine pour choper le MdP de la base KeePass
#59
ouf, toujours pas mon best passward temporaire
" />
#60
#61
#62
auto hébergement ?
… et avoir 3 types de mots de passe (et pas un de plus) :
Mais surtout un mot de passe visuel, une forme que vous dessinez sur votre clavier = même vous vous ne pouvez épeler votre pass !!! p
Avec ça déjà on est pas mal … mais pas contre une attaque qui bosse autrement !
#63
Quelqu’un aurait des retours / avis sur les gestionnaires de mots de passes physique ?
Cela fait pas mal de temps que j’ai envie de m’offrir celui-ci:http://www.themooltipass.com/ mais il est un peu chère pour mon budget actuel :(
#64
moi je dessine un pentacle…parce que le ouèbe c’est le mal
#65
#66
Les passwords sont une vraie plaie pour les utilisateurs: c’est chiant a générer, c’est chiant a se souvenir, c’est chiant à taper.
Faut pas s’étonner que les gens soient peu réceptifs quand on leur dit de rendre ca encore plus chiant en choisissant des passwords du genre F14|z#aH^Z!78.
Leur bon sens leur commande soit de mettre le même mot de passe “compliqué” partout, soit de mettre un mot de passe “compliqué” seulement sur les sites sensibles (banque, ….) et de mettre des mots de passe simple sur les autres sites (genre “nom du chien + année” = sultan2016)
#67
Il y a une bonne solution:http://www.passwordcard.org/fr
#68
Le pire c’est en entreprise quand on te demande tout les 3 mois de changer ton mot de passe et qu’en plus tu peux pas réutiliser un précédent ce qui fait qu’au final tout s’en cogne et rajouter un incrément à la fin au fil du temps. Bien sûr avec un mot de passe généralement simple parce que c’est le taf et que tu t’en cogne du mot de passe que tu vas oublier à chaque fois que tu pars en congés. Puis bon il faut déjà que le type est accès à ta machine donc qu’il entre dans la boite pour commencer à vouloir essayer d’ouvrir ta session. lol
Une entreprise a plus de chance de se taper une intrusion dans les serveurs depuis l’extérieur que de voir un type débarqué par effraction ou frauduleusement et s’asseoir à un bureau pour accéder à un serveur depuis un poste client.
Parfois c’est abusé les niveaux de sécurité démesuré quand même.
Niveau particulier, comme beaucoup c’est plus ou moins les mêmes mot de passe d’un site à l’autre. Je me suis pas fait une base énorme en tête. Puis généralement les sites que je visites tout les 36 mois j’oublie le mot de passe alors soit je me prend un blocage pour 3 tentative infructueuse soit je génère via mon adresse mail un nouveau mot de passe. lol
#69
Le plus chiant c’est de devoir les changer. J’ai connu des boîtes où le niveau des passwords était faible (uniquement alphanumérique avec des minuscules, pas de caractères spéciaux, et 8 caractères en tout), et où il fallait les changer tous les 3 mois. C’est chiant, et d’une sécurité plus faible à mon sens qu’un unique password de 15 caractères incluant minuscules, majuscules et caractères spéciaux.
#70
si tu lisais le papier du mec, tu comprendrais que son attaque est vachement facilitée par l’interface de lastpass.
c’est aussi une question de conception du site.
#71
password de 15 caractères “compliqué” qui est forcément noté quelque-part pour s’en souvenir… Ce qui affaiblit la chaine de sécurité.
#72
A force on finit par le retenir. Si on ne doit pas changer son password tous les trois mois, on finit par le retenir. Effectivement, au début on commence par avoir un petit papier dans le portefeuille, mais à terme on le retient.
Et mes passwords “simples”, je finissais pas les noter pour les premiers jours également. Donc tous les trois mois il y a un nouveau post-it qui traîne pendant 4 ou 5 jours. :)
#73
#74
ouais pour les banques t’as pas le choix c’est que des chiffres (bon le pavé mélange aléatoirement les chiffres à l’écran)
" />
#75
le pire c’est que certaines boites bloquent l’utilisation de gestionnaires de pass.
hier je me suis dit: tiens je vais me télécharger keepass pour le boulot, ça va me simplifier la vie.
blocage “virus détecté”, lol. par mail idem.
résultat j’ai tout en clair dans un txt, osef.
#76
J’avais lu (je ne sais plus où) que le meilleur mot de passe été de faire une phrase, par exemple : Mapouleponddesoeufs
Perso je fais ça, mais je rajoute des numéro au début et à la fin.
#77
Le cahier, le papier et le crayon, je l’ai déjà dit, haha.
" />
Il faut avoir un accès physique pour un piratage alors qu’un service en ligne de centralisation de mdp peut être piraté à distance.
#78
le plus chiant c’est les site qui imposent leur propre format de mdp …
parce que du coup le mdp que je veux utiliser n’est pas compatible… je suis obligé d’en trouver un qui colle dont je vais me souvenir… résultat je mets un truc bidon et le pire c’est que je m’en rappellerai même pas …
pas plus tard que ce matin, j’installe un jeu, il me demande de choisir un code de 6 chiffres à entrer à la souris … bas j’ai pris ma date de naissance parce que clairement je vais pas m’en souvenir sinon, le jour où il me le redemandera…
#79
Ce qui marche aussi c’est de faire une phrase longue, genre “Cendrillon mange des pommes, parce qu’elle aime Apple; d’ailleurs elle a 7 iPhones”, et de garder les initiales et la ponctuation. Dans mon cas ça donnerait Cmdp,pq’eaA;d’aea7i”. C’est un peu long, mais on peut faire plus court.
#80
C’est un vrai problème en effet. Entre les sites qui obligent à avoir majuscule/minuscule/caractères spéciaux, et ceux qui l’interdisent (je n’ai plus d’exemple en tête, mais ça existe), je finis par avoir des variations du même mot de passe.
Ah, si, Taleo est particulièrement chiant, selon la compagnie qui l’a paramétré.
#81
#82
le pire c’est celui d’Apple.
quelle prise de tête pour pondre un mot de passe valide.
#83
Sauf que le “papier/crayon” disparait au profit de l’application bloc-note du smartphone.
" />
D’une manière générale on peut même prédire que toute la chaine de sécurité sera aussi solide que son maillon le plus faible: le code pin du smartphone.
#84
Jusqu’à il y a peu j’avais un truc simple (8 caractères, minuscules et chiffres), et ils m’ont imposé je ne sais pas trop comment de devoir le changer (genre avec un nouvel iOS ou un nouvel iPhone), et bien j’ai gardé le même mais avec une majuscule. Ca passe.
" />
#85
C’est la solution que j’utilise, du genre basecommune-nomduservice.
Mais il y a toujours les problèmes suivants :
#86
les generateurs aleatoires sont certifiés NSA
Oh wait vu le top 10 des mots de passe on se demande pourquoi ils depensent autant d’energie et de $$$ dans des backdoors et dans la recherche de failles xD
#87
Commentaire non valide non plus :
Je n’ai pas dit que c’était un problème de sécurité technique. J’ai dit de ne pas utiliser ces services en ligne (quelqu’en soit la raison, site moisi ou PEKBAC, le problème reste le même).
#88
“1234” Orange s’en servait pour le Telnet de leurs ancienne LiveBox
" />
" />
" />
ils ont changé de procédure (heureusement) mais du coup ils ont aussi verrouillé Telnet ce qui peut être très chiant pour certains, j’en fait parti (je ne m’en servait que pour activer/désactiver la connexion et rebooter la box si nécessaire)
maintenant avec leur LB2 il faut impérativement éteindre et rallumer si tu as une merde, et comme elle met 3 plombes a se synchroniser… il y a de quoi grincer des quenottes
comme dirait l’autre “c’était mieux avant…”
#89
Oui et le bloc-note du smartphone présente aussi un risque d’attaque à distance contrairement à un bloc-note physique rangé dans un tiroir.
" />
#90
un tiroir fermé dont tout le personnel dispose de la clef
" />
" />
soyons précis dans les termes
#91
moi j’ai 3 niveaux de sécu pour les pass:
niveau 1: sites à 2 balles, sites où c’est pas très important de se faire chourer son pass, ou sites d’eCommerce de merde qui te stockent ton pass en clair: le même partout en gros.
niveau 2: sites importants (mails, assurance, impots, etc): keepass
niveau 3: sites nucléaires berezina style (en gros la banque): cerveau
#92
Oh des fois un bloc note noyé dans un gros bordel sera plus en sécurité que dans un tiroir fermé à clé.
" />
#93
Je fais comme les US pendant la guerre avec les codes en navajo: mes mots de passe sont en breton :p
#94
#95
pas faux non plus
" />
#96
#97
Cette recette est valable quand on connaît la politique de mots de passe du site. Pour reprendre l’exemple de Taleo (pas mal utilisé avec plein de boîtes pour chercher du boulot), un coup il faut 10 caractères sans caractères spéciaux, un coup c’est au moins 8 dont une majuscule et un caractère spécial au minimum,…
Et la politique du mot de passe est affichée uniquement quand on créé un mot de passe (ça serait trop compliqué de la rappeler sur la page de login).
Résultat, mon mot de passe Renault.taleo.net est différent de mon mot de passe saint-gobain.taleo.net, qui est différent de oracle.taleo.net,…
Et j’explique pas la grouille dans le gestionnaire de mot de passe d’OSX pour retenir X mots de passe pour la même racine.
#98
Je l’ai lu. C’est générique et valable pour tous les sites qui sont dupliqués au niveau de la page d’accueil (sites de banque en ligne, etc) :
“ il s’agit tout d’abord pour l’attaquant d’attirer l’utilisateur sur un site malicieux, puis d’afficher une notification indiquant à l’utilisateur que celui-ci a été déconnecté de Lastpass. ”
C’est valable pour tout putain de sites, ce n’est pas une fragilité Lastpass.
#99
#100
C’est une bonne recette en effet. En tout cas je remercie le trousseau d’OSX de stocker tout ça pour moi, ça me libère du temps de cerveau pour faire autre chose (comme regarder TF1
" />).
#101
tu oublies le passage où il explique qu’il utilise l’API lastpass pour réellement déconnecter l’utilisateur de lastpass.
et tu oublies aussi qu’il compare avec 1password (il me semble, j’ai pas relu), qui affiche des notifications dans une fenêtre séparée et non dans la page.
il ne s’agit pas d’attirer l’utilisateur vers un site malicieux, ça peut très bien être un site véritable avec une faille XSS, sur lequel il suffit de charger un JS.
comme il le dit: “ au contraire de la plupart des cas de phishing, l’utilisateur ne sera pas sur ses gardes car il ne s’agit pas d’un site sécurisé”. au contraire d’une banque en ligne, justement.
bref, il vaut mieux lire le papier du mec que celui du monde, qui n’est pas le plus précis sur le sujet.
https://www.seancassidy.me/lostpass.html
#102
Avec les nouveaux claviers typiquement Français que les députés nous préparent, les hackers internationaux peuvent toujours se brosser pour trouver nos mots de passe !
#103
ben ouais c’est un des avantages d’avoir des caractères spécifiques à la langue.
faudrait utiliser plus de ç, de à, de è, é, ù dans nos mots de passe.
#104
ça m’est déjà arrivé !!!
" />
" />
" />
" />
Mais tu fais comment sur un clavier japonais ?
… ça m’est aussi déjà arrivé (de devoir dépanner un directeur “yakuza” ;-) )
MAIS cela reste les mots de passe les plus forts et surtout non présents en clair dans ma mémoire et sur un quelconque support : là cela devient assez fort , non ?
Là celui du mois est avec plein de caractères tordus que je ne veux pas connaitre !!!!
#105
#106
Cela te laissera certainement plus de temps pour mettre à jour les mots de passe de tes comptes.
Perso, j’essaye d’avoir des mots de passe complexe mais néanmoins mémorisable. Aujourd’hui, ce qui me gave, c’est les sites où tu es contraint d’avoir des mots de passe “faible” genre pas le droit d’utiliser de caractères spéciaux (comme Steam à une époque, c’était même pire, tu pouvais créer ton compte avec mais les caractères n’étaient pas reconnus ensuite…), obligation d’utiliser que des chiffres (Tel que B&You jusqu’à hier soir où ils ont fait leur migration foireuse vers Mon Compte Bouygues), limitation en nombre de caractères (max) qui est parfois très faible (j’avais eu le cas avec 15 caractères) etc.
#107
#108
#109
Exemple : vous voulez créer un password pour le site Zalando.fr où acheter des chaussures à votre femme ? Essayez ceci :
MafemmeS0phie?
Pour votre compte Amazon :
AuMilieucoule1riviere=
PS : ma femme ne s’appelle pas Sophie et je n’utilise pas les mots de passes cités ci dessus ;)
#110
Sinon, est-ce que le fait de synchroniser aussi ses mots de passe avec Firefox Sync représente un risque ? ce n’est pas un gestionnaire de mot de passe, mais ils sont bien stockés quelque part…
Edit: Je parle ici d’utiliser le serveur officiel de Mozilla, pas d’héberger le sien chez soi.
#111
Faut pas oublier non plus que 80% ou 90% des sites ou on s’inscrit n’ont qu’un intérêt très limité ou temporaire, donc on s’en fiche un peu du mdp.
#112
Technique intéressant mais qui a rapidement une limite. Si un suite à un piratage massif un hacker met en relation deux mots de passes pour un utilisateur donné, il peut en déduire la méthode de création perso et avoir une base solide pour découvrir ceux d’autres sites.
Seul l’aléatoire pur, sans lien avec l’utilisateur ni le site, peut avoir du sens.
#113
Il y avait une étude qui avait montré qu’un site marchand qui ne nécessite pas de se créer un compte avait 30% de ventes en plus.
https://www.shopify.com/blog/8484093-why-online-retailers-are-losing-67-45-of-sales-and-what-to-do-about-it
#114
Je m’intéresse à la question depuis longtemps, au point de régulièrement tester les solutions en places, ou nouvelles. Et depuis tout ce temps, je m’en tiens à 1Password. Non seulement ça fonctionne bien, mais ils ont une approche que j’apprécie beaucoup : une grande transparence vis-à-vis de leur design, de leurs principes, du fonctionnement des technologies en place. On ne met rien sous le tapis, et c’est ouvert. N’importe qui peut juger de la pertinence de la solution, et voir que c’est extrêmement compliqué a craquer (jamais arrivé de mémoire).
Ils font parti des derniers à ne pas proposer de système dans le cloud, et c’est entrain de changer avec une solution qui me semble mieux sécurise que sur la concurrence.
Encryptr de SpiderOak fonctionne aussi sur le Zero Noledge. Accès via le soft uniquement, stockage chiffré en ligne, déchiffrage en local uniquement. Et gratuit, mais le soft est très basique.
Quoi qu’il en soit, il est toujours délicat de trouver un équilibre en simplicité (faut bien que les gens l’utilisent et gagnent du temps), et la meilleure sécurité. Et encore bien souvent, c’est un problème d’utilisateur.
#115
ma banque fait ça depuis plus d’un an, a chaque fois t’as l’impression de jouer au sudoku …
#116
-DOUBLON-
#117
Et puis une recette reste un “template” commun sur plusieurs mots de passe, et elle peut donc être déduite à partir de deux mots de passe connus pour un utilisateur donné.
#118
je faisais ça un moment la première lettre du site, suivie par NextInpactEstMieux 
" />
#119
Je trouve ça d’autant plus c*n, que la plupart d’entre-nous ont un solde proche de 0.
" /> 
" />
Alors pourquoi sécuriser à mort quelque chose qui n’a quasiment pas de valeur
#120
ce qu’il dit c’est que c’est rendu ultra facile sur lastpass à cause de leur process/API, et du fait que les gens se méfient moins quand c’est pas sur un site “sécu” type banque.
#121
#122
c’est pour mieux te faire chier mon enfant
" />
#123
#124
Celui qui a 1234 comme code de sa carte bleue doit pas dormir tranquille… (hs)
#125
#126
ha ouais là c’est fort
" />
encore heureux qu’il n’ai pas choisi son prénom en guise de pass, il y aurait de quoi s’inquiéter là
#127
ben le souci c’est qu’au bout d’un moment t’as oublié à quel numéro t’en es, du passwordXX, à force d’itérer tous les mois. ^^
#128
c’est un peu la théorie du “pourquoi faire simple alors qu’on peut faire compliqué ” en gros
" />
#129
ben d’un autre côté, quand t’es obligé de changer tous les mois, ça gave un peu de devoir réinventer un nouveau mot de passe à chaque fois.
le pire c’est au retour de vacances. ^^
je comprend pas pourquoi ils refusent les gestionnaires de mots de passe au taf. c’est n’imp.
on n’a même pas accès au gestionnaire de IE, c’est dire. donc tout dans txt.
forcément, t’as 15 applis, 20 environnements, une dizaine de serveurs, les base de données, etc…
impossible de tous les retenir. ^^
#130
Pour ceux dont les mots de passe au taff sont relou à changer, y a une technique simple:
" />
" />
si votre mot de passe est tomate01, pour le suivant vous incrémentez d’une lettre dans l’alphabet, et le nombre de 1 pour savoir à combien d’occurrence vous en êtes ^^
En gros ça ferait upnbuf02
Bon, c’est un peu chiant, mais on peut toujours le retrouver
#131
#132
#133
… recommande d’un choisir un avec « 12 caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux) n’ayant aucun lien avec vous (nom, date de naissance…) et ne figurant pas dans le dictionnaire ».
Je sais que c’est un conseil très souvent entendu et il est excellent. Mais j’ai remarqué que beaucoup d’utilisateurs ont des difficultés avec les subtilités du clavier. Donc je ne suis pas persuadé que le fait de mixer la casse et des caractères spéciaux soit forcément la meilleure alternative pour pousser les gens à sécuriser leurs mots de passe.
On pourrait aussi recommander de se contenter d’un mix de caractères standard et de chiffres, mais en allongeant le mot de passe. Par exemple passer de 12 à 15 caractères pour compenser, ce qui revient à peu près au même ordre de grandeur en terme de possibilités.
#134
L’inventivité des nouveaux mot de passe, ont sent que les gens ont pris le problème de la sécurité à coeur.
#135
#136
#137
#138
intéressant, merci.
#139
64B9A590BC9292F2C4334DF78F
C’est plutôt facile à retenir comme mot de passe et je l’utilise depuis des années sans aucun souci… L’avantage, c’est que c’est une vieille clé WEP que j’avais dû apprendre par cœur lors d’un emploi précédent et que je n’ai jamais oublié. Quand tu dis à tes amis que ton mot de passe fat 26 caractères, ils te regardent bizarrement… Encore pire quand tu leur récites pour prouver tes dires (aucune chance qu’ils le retiennent, je suis secure de ce côté).
#140
#141
Si vous voulez un mot de passe sécurisé, oubliez ASCII et tapez dans Unicode (ASCII exclu).
/thread
#142
#143
Comme j’explique à mes étudiants, une adresse mail fait un très bon mot de passe (facile à retenir, long, avec caractères . et @ ) et en plus peut passer inaperçue dans un log ou un keylog, car le pirate s’attend à trouver un mot de passe, pas une adresse mail. genre: [email protected] (18 signs, mixed case, special chars)
#144
#145