A woman holding a smartphone, with passwords around and alerts indicating the password is weak.
Agence web » Actualités du digital » Mots de passe communs que vous ne devriez jamais utiliser – ils prennent moins d'une seconde pour se fissurer

Mots de passe communs que vous ne devriez jamais utiliser – ils prennent moins d'une seconde pour se fissurer

ParTremplin Numérique Publié le

Vos mots de passe ne traînent pas seulement sur un serveur qui attend d'être volé – il y a un processus entier qui se passe dans les coulisses pour les garder en sécurité. Assurez-vous simplement qu'ils ne sont pas communs – ou ils ne prendront que quelques secondes à se fissurer.

Comment fonctionnent les mots de passe

Le site Web ou le service que vous utilisez ne se contente pas de mémoriser votre mot de passe et de vous laisser accéder au compte. Ce serait un gros risque de sécurité. Tout ce qu'un pirate devrait faire est de compromettre la sécurité du serveur, et il aura accès à vos informations d'identification. Alors, que se passe-t-il vraiment lorsque vous créez un mot de passe?

Le processus implique quelque chose appelé hachage de mot de passe. Le hachage de mot de passe convertit votre mot de passe en une courte chaîne de lettres et / ou des nombres à l'aide d'un algorithme de hachage. C'est ce qu'on appelle un hachage, et il est généralement unique. Le site Web enregistre ce hachage, et la prochaine fois que vous entrerez votre mot de passe, il le compare à ce hachage pour voir s'il correspond.

Si le mot de passe est suffisamment fort, le hachage ne peut généralement pas être fissuré, car plus un mot de passe est sécurisé, plus il est difficile de se fissurer. Cela est particulièrement vrai lorsque des algorithmes plus forts sont utilisés (comme Argon2 ou Bcrypt).

Certains mots de passe prennent moins d'une seconde pour se fissurer

Les mots de passe comme «123456», «mot de passe1» et «Qwerty» ne sont pas seulement communs dans le monde entier, ils sont ridiculement faciles à casser, prenant moins d'une seconde à se déclencher. Il y a des mots de passe qui peuvent sembler uniques, mais étonnamment, ne prennent toujours que quelques secondes pour se fissurer. Bien que cette durée puisse varier en fonction des compétences techniques du pirate.

Il existe des outils de craquage (outils de force brute généralement) qui peuvent permettre à un pirate avec très peu de compétences techniques pour se frayer un chemin dans une connexion. Ces outils fonctionnent en essayant automatiquement différentes combinaisons de mots de passe potentielles jusqu'à ce que la bonne est trouvée – cela signifie que même un hacker débutant pourrait casser votre mot de passe s'il est faible.

Comment est-ce pertinent pour les mots de passe communs?

Une attaque de force brute commune est l'attaque du dictionnaire, c'est-à-dire lorsqu'un pirate utilise une liste de mots de passe communs pour accéder à un compte. Certains outils de force brute utilisent une approche hybride, où ils essaient une variation de mots de passe commun ainsi que des ajouts de caractères différents, tels que des caractères et des nombres spéciaux. Tout cela est automatisé. Bien sûr, aucun pirate n'est assis là à essayer de se connecter à un compte en tapant des mots de passe communs un par un.

Mots de passe communs que vous ne devriez jamais utiliser

Ainsi, en plus des mots de passe communs évidents qui se démarquent, en raison de modèles de clavier (comme « Qwerty » ou « AsdfGH ») ou des combinaisons de nombres (telles que « 123456 » ou « 111111 »), des tonnes d'autres ont été identifiées par la société de sécurité de mot de passe, Nordpass, comme étant commune dans le monde entier. Certains d'entre eux incluent:

Saviez-vous que le «football» et le «baseball» sont deux des mots de passe les plus courants, le premier classement 50e et le dernier se classant 64e dans la liste la plus courante? «Soccer» a également atteint la liste, avec plus de 42 000 utilisateurs dans le monde en étant le sélectionné comme mot de passe. Les autres mots de passe liés au sport qui ont fait sur la liste comprennent également le «basket-ball». Beaucoup d'entre eux prennent des secondes à se fissurer.

Si vous êtes un fan de sport, vous voudrez peut-être éviter ces mots de passe communs. Même les variations comme «Football123456» sont tout aussi peu sûres en raison du fonctionnement des outils de force brute.

Surnoms communs

Il s'avère que «Princess» et «Sunshine» ne sont pas seulement des surnoms mignons – ce sont également les favoris des pirates, craqués plus vite que vous ne pouvez faire votre café le matin. «Princess» et «Sunshine» prennent moins d'une seconde à se fissurer et ont été utilisés plus de 54 000 fois, et tous deux classés comme les 52e et 57e mots de passe communs utilisés dans le monde, respectivement.

Personnages fictifs

Même vos émissions de télévision nostalgiques préférées ne sont pas sûres; En fait, «Pokémon» a été utilisé plus de 50 000 fois. «Superman» a atteint cette liste, les deux mots de passe prenant moins d'une seconde à craquer.

Batman est en fait venu 183e sur la liste la plus courante, avec plus de 24 000 personnes qui l'utilisent comme mot de passe. Cela régle-t-il enfin le débat séculaire de Superman contre Batman?

Les autres mots de passe populaires qui ont atteint la liste incluent Star Wars, qui a été classé 112e, et plus de 34 427 personnes l'ont comme mot de passe. Malheureusement, tous ces mots de passe prennent moins d'une seconde à se fissurer.

Noms

La plupart des noms ne sont pas uniques et les pirates le savent. Les noms ont été intégrés dans des listes dans les attaques du dictionnaire car elles sont prévisibles, ce qui permet aux pirates de casser facilement le mot de passe.

Certains de ces noms incluent «Michael», «Daniel», «Jessica», «Jordan», «Ashley», «Jennifer», «Thomas», «Anthony». «Andrew,« Nicole »,« Jonathan »,« Justin », Samantha», qui ne prennent toutes que quelques secondes à se fissurer.

Si votre nom est sur la liste, félicitations, vous venez de vous rendre au 70e rang des mots de passe les plus courants utilisés en ligne. Vous devriez également probablement modifier vos mots de passe: la capitalisation ajoutée ou les caractères supplémentaires n'aidera pas beaucoup dans ce cas.

Mots aléatoires

Des mots comme «fromage», «ombre» et «inconnus» ont en fait fait la liste la plus courante, les deux dernières prenant des secondes à se fissurer. Je suis surpris que «Shadow» serait un choix de mot de passe pour plus de 42 000 personnes!

Fait intéressant, le mot de passe «inconnu» peut prendre un peu plus de temps à se fissurer – environ 17 minutes. Bien que ce ne soit pas long et pas assez fort pour être un mot de passe sécurisé, il y a une raison pour laquelle il faut un peu plus de temps pour que ce mot de passe soit fissuré. L'une des raisons est que les attaques du dictionnaire ou de la liste de mots hiérarchirent généralement les mots à haute probabilité.

«Inconnu» semble assez aléatoire, mais n'est généralement pas un mot incontournable à moins d'être associé à des variations comme «Unknown123», et peut prendre plus de temps à craquer uniquement parce qu'elle apparaît plus tard dans l'ordre de priorité de craquage (donc ce n'est pas plus fort), plus la vitesse de fissuration peut également dépendre de l'algorithme de hachage et de la vitesse de calcul également.

Des mots comme «ordinateur», «Letmein», «Changeme», «Samsung» et «Internet» ont été vus sur la liste la plus courante, qui prennent tous moins d'une seconde à se fissurer. Il est préférable d'éviter les mots communs et prévisibles liés à la technologie.

Le mot de passe «Admin» est également apparu sur la liste, ce qui n'était pas une surprise. De nombreux appareils et systèmes sont généralement livrés avec une connexion par défaut, «l'administrateur» étant le nom d'utilisateur et le mot de passe. Il semble que ce soit le 94e mot de passe le plus courant, avec 40 324 personnes qui l'utilisent comme mot de passe. Ils n'ont peut-être pas modifié le mot de passe par défaut ou ont décidé de s'en tenir à «l'administrateur» en raison de la commodité.

Dans les deux cas, ce n'est pas un mot de passe sûr et peut prendre moins d'une seconde pour se fissurer. C'est également le même cas pour le mot de passe «Master», qui est venu 106e comme le mot de passe le plus courant, avec plus de 36 000 personnes qui optent pour cela comme mot de passe. Comme «Admin», il faut également moins d'une seconde pour se fissurer.

Comment choisir un mot de passe sécurisé

Maintenant que nous avons vu quels mots de passe ne pas choisir, comment choisissons-nous un mot de passe sécurisé, unique et ne prend pas quelques minutes à casser?

Je recommande de choisir un mot de passe qui a un minimum de 12 caractères; Plus il est long, mieux c'est. Vous devez inclure autant de types de chiffres, de caractères spéciaux et de lettres supérieures et minuscules que possible. Ce mélange peut rendre le mot de passe plus difficile à casser.

Vous devez éviter les noms communs et les mots que vous pouvez trouver dans un dictionnaire, ainsi que des combinaisons de ceux-ci. L'utilisation de substitutions communes n'est pas non plus une décision intelligente, par exemple, le remplacement du «O» par «0» dans le mot de passe et l'ajout d'un modèle de nombre prévisible tel que «ordinateur» pour être «C0mputer123» ne le rend plus sécurisé.

Le risque d'utiliser le même mot de passe pour tout

Selon KnowBe4, les mots de passe sont réutilisés 64% du temps et le nombre de mots de passe à retenir atteint plus de 100.

L'utilisation du même mot de passe pour différents comptes est découragée. Si un compte est compromis, soit par une violation de données (qui n'est pas rare de nos jours), soit à partir d'un accès non autorisé à votre compte, un pirate peut essayer d'utiliser ce mot de passe pour accéder à d'autres comptes.

Si le serveur d'une entreprise est compromis, les pirates peuvent avoir accès aux hachages qu'ils peuvent essayer de «fissurer». Une façon dont ils le font est de deviner les mots de passe communs, de les hacher avec le même algorithme et de voir s'il y a une correspondance.

Envisagez d'utiliser l'authentification multi-facteurs (MFA) sur tous vos comptes. Cela vous donne une couche de sécurité supplémentaire au cas où votre mot de passe serait jamais compromis.

Comment se souvenir de votre mot de passe

Vous pouvez créer le mot de passe le plus complexe avec beaucoup de caractères, de symboles spéciaux et de nombres, mais à quoi ça sert si vous ne vous en souvenez pas? L'écriture de votre mot de passe peut sembler pratique, mais cela a toujours le risque de vol à l'ancienne. Se souvenir des mots de passe ne doit pas être pénible.

Vous pouvez vous opposer à l'utilisation d'un gestionnaire de mots de passe qui enregistre vos mots de passe pour vous, mais il existe une autre solution. Vous pouvez utiliser un motif mémorable ou une phrase de passe pour générer un mot de passe unique qui est à la fois fort et facile à retenir.

Par exemple, disons: «Je suis allé à Richfield High School, j'ai obtenu mon diplôme en 2000 et j'ai acheté une voiture cette année-là pour 4000 $.»

Vous pouvez transformer cette phrase en mot de passe en utilisant les premiers chiffres de chaque mot, donc votre mot de passe dans ce cas deviendra: «IWTRHS, GITY2000 et BAC4 4000 $». Ce mot de passe pourrait prendre 13 millions de billions d'années pour se fissurer!

Cette estimation est selon PasswordMonster, un outil qui peut mesurer le temps nécessaire pour casser votre mot de passe. Bien que ces outils soient toujours des estimations et supposent des méthodes d'attaque spécifiques, vous pouvez les utiliser comme guide approximatif pour voir si votre mot de passe est suffisamment sécurisé.

L'utilisation de mots de passe uniques pour chaque service, d'éviter les escroqueries courantes et de s'assurer d'utiliser l'authentification multifactorielle peut vous emmener loin dans le monde de la sécurité en ligne. Mais ce n'est pas la fin, il est donc important que vous restiez vif et informé.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.