Je connais ton mot de passe !

28

Sésame, ouvre toi !

Nous possédons tous de très nombreux mots de passe. En ces temps d’Hadopi et autres flicages,nous mettons de plus en plus de données en ligne, sans être alarmiste, il semble encore plus urgent d’adopter les bonnes pratiques en matière de mots de passe.

Un institut de sécurité a récemment analysé la liste des 32 millions de mots de passe qui a été dérobée lors d’un piratage d’un grand site américain (rockyou.com). Le constat fait froid dans le dos et laisse un joli avenir aux pirates.

Êtes-vous certains d’avoir pris le minimum de précaution ?

Les chiffres montrent qu’environ la moitié des personnes utilisent les mêmes (ou très proches) mots de passe pour tous sites web.

Il y a quelques années, un piratage semblable de Hotmail avait déjà démontré ces problèmes.

Avec une puissance de calcul croissante grâce aux nouveaux processeurs, les pirates utilisent de plus en plus la méthode « BRUT FORCE » qui consiste à essayer automatiquement un par un les mots de passe suivant un algorithme ou plus simplement un annuaire des mots de passe les plus utilisés.

Il est démontré qu’il ne faut que seulement 110 tentatives pour un pirate pour accéder à un nouveau compte ou seulement 17 minutes pour atteindre 1000 comptes avec les bons identifiants !

Environ 30 % des internautes ont choisi des mots de passe dont la longueur est égale ou inférieure à six caractères.

En outre, près de 60 % des utilisateurs ont choisi leurs mots de passe à partir d’un ensemble limité de caractères. (chiffres ou nombres)

Près de 50 % des utilisateurs d’utiliser des noms, des prénoms, des mots du dictionnaire ou des mots de passe triviaux (chiffres consécutifs, touches du clavier à côté et ainsi de suite).

Quelques règles élémentaires

- Un mot de passe doit contenir au moins huit caractères.

L’analyse a révélé que seulement la moitié des mots de passe contenait sept caractères ou moins. Pas moins de 30 % des utilisateurs ont choisi des mots de passe dont la longueur était égal ou inférieur à six caractères.

- S’il n’y a qu’une seule lettre ou un caractère spécial, il ne devrait pas être soit le premier ou dernier caractère dans le mot de passe.

Environ 40 % des personnes interrogées utilisent uniquement des caractères minuscules pour leurs mots de passe. 16 % utilisent des chiffres seulement. Moins de 4 % des utilisateurs d’utiliser des caractères spéciaux.

- Il devrait contenir un mélange de quatre différents types de caractères – lettres majuscules, minuscules, chiffres et caractères spéciaux tels que [email protected]#$%^&*, ; »

Pensez à panacher majuscules et minuscules : A titre d’exemple « FrEeNeWs » est différent de « freenews » mais pour être mieux sécurisé : « [email protected]$ » est largement conseillé.

- Il ne doit pas être un nom, un mot d’argot, ou n’importe quel mot dans le dictionnaire. Il ne devrait pas inclure n’importe quelle partie de votre nom ou votre adresse e-mail.

La quasi-totalité des 5000 mots de passe les plus populaires, qui sont utilisés par 20 % des utilisateurs, ont été justement des noms, des mots d’argot, des mots du dictionnaire ou des mots de passe triviaux (chiffres consécutifs, touches du clavier à côté, etc).

Le mot de passe le plus courant parmi les propriétaires de compte Rockyou.com était « 123456« . Le tableau suivant illustre les 20 premiers mots de passe commun dans la base de données :


- Choisissez un mot de passe différent pour les sites qui contiennent des données confidentielles. (Banque, Opérateur internet ou mobile, Facebook et autres)

Pour aider à se souvenir des mots de passe, une astuce simple : écrivez-les et mettez le papier dans votre portefeuille. Mais il suffit d’écrire la phrase – ou mieux encore – une allusion qui vous aidera à vous souvenir.

- Ne jamais transmettre vos mots de passe à quiconque. Votre banque, Free ou autres n’ont pas besoin de cela pour gérer votre compte !

- Restez vigilant face aux tentatives de phishing (si vous suivez Freenews vous connaissez forcement) et ne cliquez pas sur des liens contenus dans les mails. Retapez l’adresse de l’organisme directement dans votre navigateur, ils vous proposent des URL intelligentes simplifiant la saisie.

Les sites ont également leur rôle à jouer et des règles simples sont souvent ignorées : Forcer l’utilisation d’un mot de passe complexe, éviter de faire circuler les identifiants en clair en utilisant une session protégée HTTPS (Free n’est pas irréprochable de ce côté).
Ne jamais stocker les mots de passe en clair dans les bases de données (si cela existe encore !)

Activer si nécessaire des systèmes Captcha et autres mécanismes bloquant ou freinant les attaques directes.

Pour beaucoup d’entre vous ces conseils sont connus mais rarement appliqués, alors c’est le moment de vous poser la question de votre mot de passe avant qu’il soit trop tard. Non ?


- La méthode Brut Force c’est quoi ?

Source : Imperva et Wikipédia

Partager

A propos de l'auteur

Je suis à Freenews depuis 2005. Je suis modérateur, rédacteur et membre du Conseil d’Administration de l’association.
Je bosse dans un service d’expertise technique d’Enedis à Tours.
Premières connexions Internet (en 33,6) en 1997 avec des factures monstrueuses !
Freenaute de la première heure, j’ai fais parti des forfaits 50H bas débit bien avant l’ADSL. Un vrai Freenaute historique…

28 commentaires

  1. " Pour aider à se souvenir des mots de passe, une astuce simple : écrivez-les et mettez le papier dans votre portefeuille. " C'est une blague ??? Comment peut-on oser fournir un "conseil" aussi idiot ???

  2. agrou a écrit :
    " Pour aider à se souvenir des mots de passe, une astuce simple : écrivez-les et mettez le papier dans votre portefeuille. " C'est une blague ??? Comment peut-on oser fournir un "conseil" aussi idiot ???
    Précise ta pensée ..... A choisir tu prends quoi : -un mot de passe crackable en moins de 15 min? ou un mot de passe SERIEUX mais compliqué sur un papier (impossible pour quelconque pirate de venir lire ton portefeuille) ? Je suppose que tu me conseillera de l'enregistrer dans l'ordinateur (Firefox ou pourquoi pas un .txt sur le bureau???) Je doute que tu ai beaucoup de mots de passe complexe à retenir vu ton commentaire "intelligent"

  3. Ce sont des bons conseils que vous donnez aux utilisateurs. Mais pour les appliquer il faudrait aussi que les administrateurs des sites dans lesquels un mot de passe est nécessaire puissent les gérer. Et malheureusement ce n'est vraiment pas le cas. Par exemple chez vous...

  4. ckikig a écrit :
    Ce sont des bons conseils que vous donnez aux utilisateurs. Mais pour les appliquer il faudrait aussi que les administrateurs des sites dans lesquels un mot de passe est nécessaire puissent les gérer. Et malheureusement ce n'est vraiment pas le cas. Par exemple chez vous...
    Hummmm Tu as besoin d'un mot de passe pour Freenews... il est crée de façon aléatoire, tu le recois par mail (ok pas HTTPS) mais rien ne t'empêche de le personnaliser dans ton profil et il est de toute manière crypté dans notre base de donnée Fluxbb . On envisage de changer de système a terme et on n'y perdra pas en sécurité. maintenant les données que tu entre dans ton profil sont peu sensibles logiquement. (la plupart étant lisibles pour les tiers LOL)

  5. Bonjour Possesseur d'un Asus, je dispose du système Asus Sécurity Protect Manager qui me permet de stocker des noms d'utilisateur et des mots de passe différents pour chaque site sans avoir à me soucier de les mémoriser. Je peux choisir ensuite le mode d'accès aux sites, automatique ou pas. Vos avis sur ce genre de procédé d'identification...

  6. UNJ a écrit :
    Moi j'ai un mot de passe différent pour chaque site vous allez me dire il est taré il peut pas tous les retenir !! eh bah si avec une méthode toute simple vous prenez un mot de passe de base exemple : new2news (donc 8 caractères) ensuite vous rajoutez la première ou les 2 premières lettres du site correspondant en majuscule en l'occurrence ici : FR (FReenews) ce qui donnera au final FRnew2news ou new2newsFR. sur le site de google ca donnerais : GOnew2news ou new2newsGO du coup même si on découvre votre mot de passe on ne pourra pas se connecter a vos autres compte puisque le mot de passe changera a chaque fois. En plus niveau sécurité c'est pas mal car vous avez : - un mot de passe à 10 caractères - des minuscules - des majuscules - des chiffres - un mot de passe différent a chaque fois (sauf pour les sites qui commence par les même lettres comme free et freenews :/ ... Le but de mon explication n'est pas que tout le monde fasse pareil mais que chacun trouve une méthode propre a lui meme pour retenir tous ses mots de passe. on peut prendre juste une lettre du site, la mettre au milieu du mot de passe de base, ne pas la mettre en majuscule, mettre une lettre du mot de passe de base en majuscule. en bref faite ce qui vous convient le mieux soyez imaginatif mais une fois que vous avez votre méthode gardez toujours la même (sinon vous allez être pommé).
    Très bonne méthode !!!

  7. Réagir sur le forum