C’est vrai qu’un mot de passe simple, c’est pratique. Néanmoins, c’est risqué, très risqué. En 2012, c’était password qui était le plus utilisé dans le monde. Mot de passe qui se place cette fois à la deuxième place au profit de la suite de chiffre la plus bête du monde.
Cette étude, SplashData l’a réalisé en se basant sur les données mises en lignes après les attaques informatiques de 2013. Notons que si Adobe123 se place 10ème du classement, c’est à cause du fort taux de piratage du logiciel.
Voici le top 25 des mots de passe les plus utilisés en 2013.
1
123456
2
password
3
12345678
4
qwerty
5
abc123
6
123456789
7
111111
8
1234567
9
iloveyou
10
adobe123
11
123123
12
admin
13
1234567890
14
letmein
15
photoshop
16
1234
17
monkey
18
shadow
19
sunshine
20
12345
21
password1
22
princess
23
azerty
24
trustno1
25
000000
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Ah ben bravo… c’est peut-être pratique pour s’en souvenir mais c’est tout aussi facile à pirater !
nos mdp ne sont pas censé être chiffré dans la base ?
@le lion : il te suffit de lire l’article pour avoir ta réponse…
000000 est seulement 25eme ? WTF, je l’aurai vu bien plus haut dans le classement.
@le lion ils sont en général hachés mais cela ne change rien car ils ont été probablement retrouvés par brute force. Avec la base en leur possession, ils ont pu obtenir le classement du mdp le plus utilisé avec une simple requête. Il suffit ensuite de passer un dictionnaire avec les mots de passe les plus courant avec quelques déclinaisons, par exemple ceux du classement de l’année dernière pour avoir le classement de l’année.
C’est fou quand même que ce classement ne change pas chaque année 😮
un jour ou l’on remplacera le mot de passe par une phrase de passe on aura réglé tout les problèmes de piratage par brute force.
Mais je sais pas pourquoi on continu à utiliser des mots de passe avec moins de 8 caractère facilement crackable.
Non je ne vois pas l’intérêt d’un tel article
@eskimo : euh, tu sais comment ça fonctionne le bruteforce ?
En l’occurence, tu n’as pas besoin de trouver le mot de passe de l’utilisateur hein.
Il suffit d’en trouver un, qui donne le même code, une fois passer dans une fonction d’encodage (style md5).
par exemple :
“titi” peut donner en en encodage AAAAAAAAAAAA
et la phrase “bonjour, je ne veux pas qu’on trouve mon mot de passe” pourra donner exactement le même code.
Car les tests de login ne se concentrent pas sur le vrai mot de passe, mais sur la valeur une fois le mot de passe passé dans la moulinette d’encodage.
Donc le bruteforce, ils prennent leur dictionnaire de donné, et ils tentent de rentrer tout un tas de mot en mot de passe, et y en aura toujours un, qui viendra à donner le même hashage que le mot de passe de l’utilisateur.
@Melendril : pas tout à fait. Puisqu’ils sont hashés, ça veut – en théorie – dire qu’il y a une infinité de mots de passe ayant le même hash. Si ces mots de passe ont été trouvés via brute force, il s’agit des mots de passe LES PLUS PROBABLES ayant ce hash. Si ça se trouve “`|^ùp_`#yè-(‘(t*r(3″5(‘7-“‘tr1(g'” a le même hash que “123456”
Après, j’avoue qu’il m’arrive d’utiliser 123456 comme mot de passe, pour des trucs pas importants. Si quelqu’un se connecte sous mon compte, bah tant mieux pour lui, mais osef complet :p Et si le site stocke les mots de passe en clair, bah il a pas mon “vrai” mot de passe.
Après les gens s’étonnent de se faire hacker…
C’est bien beau de se plaindre, de dire que la sécurité des plateformes comme le Xboxlive, le PSN, Blizzard peuvent se faire détourner facilement mais quand on ose utiliser des mdp aussi simple…C’est jouer avec le feu.
@krimog oui et non. Pour que des collisions existent (cas ou 2 données donnent le même hach), il faut que ton hach est moins de caractères que la données de départ. Typiquement, à l’heure actuelle, si tu définis ta fonction de hachage sur 16 ou 32 cratères, et que tu limites ton mdp à 16 caractères, tu n’auras aucune collision, si tu utilises un algorithme connu car ils sont conçus pour arriver à ce résultat.
Une autre protection pour empêcher cela consiste à rajouter un “sel”, c’est à dire de rajouter au mdp utilisateur une chaine fixe de caractère avant de le hacher. Ainsi, si la base est attaqué, ils ne pourront pas utiliser le brute force pour la décoder.
@eskimo : cela ne changera rien, on verra juste émerger de nouvelle phrases type au lieu des mots de passe type. De plus cela impliquerais de gros changement dans nos systèmes informatiques et nos habitudes pour un gain minimes. Le système de phrase ne sera intéressant que si les systèmes de reconnaissance vocal ne se généralise.
@Wiiner: Euh, tu sais qu’il existe le sel (salt) pour regler ce problème? (tu rajoutes un morceau aléatoire a ton mot de passe / ta phrase de passe avant de le “hasher” pour justement empecher d’avoir le même “hash” pour deux mots de passe/phrases de passe identiques)
Source : NSA. 🙂
@Melendril c’est plus dure d’avoir une phrase type qu’un mot de passe type non ?
En plus si tu ajoute un minimum d’intelligence à ta phrase et mes fautes d’orthographe c’est vraiment dure non ?
je sais je me troll tout seul 😉
En plus une phrase c’est quoi de plus qu’un long mot de passe avec des espaces ? ça devrais pas être trop dure à changer.
Le meilleur mot de passe que tu peut avoir actuellement c’est une phrase de plus de 8 caractère avec chiffre, maj et caractère spéciaux (et en bonus des fautes d’orthographes)
Et c’est pas difficile a retenir:
L’AdminSystèmeFaitchier!42
etc…