Il est constamment répété que lors de la création d’un mot de passe, il est important d’utiliser une combinaison de chiffres non successifs, d’ajouter des lettres, des majuscules et des signes.
Cependant, même s’il est suggéré de créer des mots de passe forts, la vérité est que la grande majorité des gens préfèrent utiliser une combinaison de chiffres assez simple, peut-être pour éviter d’oublier la combinaison.
Selon un rapport de Ata Hakçıl, un étudiant en ingénierie dans une université de Chypre, le mot de passe le plus utilisé ces cinq dernières années est 123456.
Pour produire ce rapport, qui a été publié dans GitHub, plus d’un milliard d’informations d’identification ont été téléchargées et analysées, et elles ont fait l’objet de fuites lors de diverses violations de la sécurité subies par différentes entreprises. Le code 123456 a été répété plus de 7 millions de fois.
Les données provenant de ces fuites sont utilisées par des services tels que Have I Been Pwned ou Firefox Monitor, où il suffit de saisir l’e-mail pour savoir si l’adresse électronique et le mot de passe font l’objet d’une quelconque faille de sécurité.
Ce n’est pas la première fois que l’on apprend que 123456 est le mot de passe le plus répandu parmi les internautes.
En fait, les rapports des années précédentes, publiés par les sociétés de cybersécurité, ont révélé ces mêmes données. Et ce rapport confirme ce qui a été dit : c’est le mot de passe le plus courant, et donc le plus peu sûr, de ces cinq dernières années.
Autres données qui ressortent de l’analyse
- Le milliard de lettres de créance se compose de 168 919 919 mots de passe et de 393 386 953 noms d’utilisateur.
- Sur plus d’un milliard de mots de passe, 7 millions étaient des 123456.
- Seuls 12,04% des mots de passe contiennent des caractères spéciaux.
- 28,79 % des mots de passe ne sont que des lettres.
- 26,16% des mots de passe sont en minuscules.
- 13,37 % des mots de passe sont des numéros uniquement.
- 34,41 % de tous les mots de passe se terminent par des chiffres, mais seulement 4,5 % de tous les mots de passe commencent par des chiffres.
- Seuls 8,83 % des mots de passe sont uniques : ils n’ont été trouvés qu’une seule fois. Leur longueur moyenne était de 9,7 caractères.
Le rapport montre le manque de prudence des utilisateurs lors de la génération des mots de passe. Ces types de mots de passe peuvent être facilement compromis par une attaque par la force brute, qui consiste en différentes techniques de déduction de mots de passe.
Il existe plusieurs façons de le faire, l’une des plus courantes est l’attaque par dictionnaire qui cherche à tester toutes les combinaisons possibles pour deviner le mot de passe, généralement en utilisant des systèmes automatisés.
Comment savoir si votre compte et votre mot de passe font l’objet d’une fuite
Il existe deux sites qui rassemblent des informations sur les rapports de piratage connus et les signalent régulièrement.
L’un d’eux est Have I been pawned, développé par le spécialiste de la cybersécurité Troy Hunt, qui s’est fait connaître en alertant sur l’une des plus grandes fuites de données de ces derniers temps : des bases de données contenant 773 millions d’e-mails et 21 millions de mots de passe ont été publiées sur le web.
À cette époque, M. Hunt a créé un site où, lorsque vous entrez votre courrier, il vous dit si votre courrier apparaît dans une fuite signalée, il vous dit dans laquelle ou lesquelles et il vous dit quel type d’information confidentielle, outre votre courrier, se trouve dans cette fuite. Il peut s’agir d’un mot de passe, d’un numéro de téléphone ou d’une autre information.
L’autre site qui offre ce service est Firefox Monitor, qui utilise également cette même base d’informations pour informer l’utilisateur si son courrier apparaît dans l’une des filtrations massives. La différence est qu’il dispose d’une interface qui peut être plus conviviale.
Comment générer un mot de passe sécurisé
Pour commencer, évitez d’utiliser des numéros consécutifs, des dates d’anniversaire ou toute autre donnée pouvant être facilement déduite des réseaux sociaux.
Pour générer une clé sécurisée, il est important d’utiliser une combinaison de lettres, de chiffres, de caractères et d’espaces. Vous pouvez utiliser des phrases ou générer une clé qui comporte les initiales d’une phrase que nous savons que nous n’oublierons pas.
Il est important de ne pas utiliser la même clé sur tous les sites, car, si une faille de sécurité affecte l’un des sites que nous utilisons, ce mot de passe filtré pourrait alors être utilisé pour accéder à tous les autres sites qui ont ce même utilisateur.
Une alternative pour éviter d’oublier les mots de passe et d’en avoir des différents sur chaque site est d’utiliser un gestionnaire de mots de passe.
Il est important de modifier les clés fréquemment et enfin, il est vital d’activer le deuxième facteur d’authentification dans tous les comptes où cela est possible, car en faisant cela, si le cyberattaquant obtient la clé, il ne pourra pas pirater le compte, car le site demanderait un jeton qui ne serait que dans les mains de l’utilisateur.
Cette note explique, étape par étape, comment activer le deuxième facteur d’authentification dans les comptes Gmail, Facebook, Instagram et autres.