mots de passe
Products and Services PRODUCTS & SERVICES

Mots de passe : notre vieil ami ‘123456’ est de retour !

Écoutez-moi tout le monde ! Ce soir, vous serez visité par trois esprits. Les fantômes des mots de passe que vous avez utilisés sur votre compte de messagerie, votre compte bancaire en ligne, votre compte Twitter, votre compte Instagram, votre… OK, oubliez tout ça, ...

… vous serez en fait visité par au moins 100 fantômes de mots de passe vraiment terribles.

Leur haleine est fétide, car certains d’entre nous les avons réutilisés jusqu’à ce qu’ils commencent à se décomposer, une odeur qui attire des nuées de pirates qui les utiliseront pour essayer d’accéder non pas à un seul compte piraté, mais à TOUS vos comptes pendant qu’ils y sont.

Mais ce sont juste des esprits, parce que sérieusement, toutes ces choses sont très anciennes. Vous voyez encore circuler le fameux “123456” ?

Eh bien nous, oui !

C’était récemment la période des fêtes de fin d’année, la moment de l’année où les pires mots de passe ont fait leur apparition, et encore une fois, “123456” a régné en maître en tant que roi des plus mauvais mots de passe sur la liste annuelle des pires mots de passe de SplashData.

Tout comme l’année passée, et chaque année depuis 2013, quand il a détrôné “password” de sa place de numéro un.

L’année dernière, SplashData a évalué plus de cinq millions de mots de passe divulgués pour voir avec quelle fréquence ils apparaissaient. Depuis 2011, il publie la liste sur la base de millions de mots de passe divulgués lors de violations de données. SplashData n’a pas réellement dit combien de mots de passe volés ont été analysés pour construire la liste de cette année, qu’il a publiée en deux séries de 50 : voici le pire 1-49, sans oublier le pire 50-100.

L’année dernière, fatigué de harceler les utilisateurs concernant l’utilisation de ces vieux clous, j’ai plutôt décidé de m’en prendre aux sites web eux-mêmes. En effet, les utilisateurs ne vont clairement jamais cesser d’utiliser “123456“, “123456789“, “qwerty” ou “password“, à savoir les quatre mots de passe les plus fréquemment piratés en 2019, alors pourquoi ne pas faire en sorte que les sites web et autres services cessent tout simplement de permettre aux utilisateurs de choisir les mots de passe qui se trouvent sur le liste noire ?

Les sites et les services pourraient faire encore plus : en effet, nous avons suggéré qu’ils pourraient, par exemple, interdire la création de l’un des 10 000 pires mots de passe. Ou peut-être utiliser une limitation de débit, offrant ainsi même au mot de passe le plus faible une belle mise à niveau. Limiter le nombre de fois qu’un utilisateur peut essayer un mauvais mot de passe signifie que les attaques prennent beaucoup de temps. Les attaquants doivent être beaucoup plus prudents concernant le nombre de propositions qu’ils font : comme nous l’avons déjà souligné, tout ce que vous avez à faire c’est de demander au FBI à quel point la tâche consistant à forcer votre chemin via un login inconnu peut est pénible voire impossible.

De toute évidence, il reste du travail à faire. Les mauvais mots de passe sont encore toujours choisis à la va-vite et réutilisés, bien que cela ne soit vraiment pas une obligation. Si vous souhaitez un moyen court et facile de choisir un mot de passe approprié, vous pouvez regarder notre vidéo :

Et si un site web vous donne la possibilité d’activer l’authentification à deux facteurs (2FA ou MFA), activez-la. Elle vous protégera même si vous utilisez quelque chose comme a) “banana” (n°97 sur la liste de cette année), b) “whatever” (n°58) ou c) “cookie” (n°95).

Peut-être que SplashData est fatigué de harceler les utilisateurs. C’est peut-être pour cette raison qu’il a sorti la liste sans beaucoup d’explications. Au lieu de cela, il a compilé une vidéo pleine d’images, y compris a) un enfant qui danse avec une banane, b) le comédien Mindy Kaling se frappant le front, c) un lapin volant le cookie d’un bébé.

Voici leurs conseils, directs et simples :

Ne choisissez pas vos mots de passe sur cette liste…

Nous espérons que cette nouvelle année nous apportera à tous une bonne santé, moins de failles et des mots de passe aussi uniques que les flocons de neige !


Billet inspiré de Hello ‘123456,’ my old friend, I’ve come to talk with you again, sur Sophos nakedsecurity.