Le classement de la firme de recherche en sécurité Keeper Security des mots de passe les plus utilisés en 2016 a été publiée. L'occasion de revoir nos mauvaises habitudes.

La firme Keeper Security vient de sortir son top 25 des mots de passe pour 2017, basés sur des recherches effectuées sur des bases de données piratées. Et malheureusement, les résultats sont déplorables. Avant de commenter ces résultats, prenons quelques secondes pour regarder le classement.

Les 25 mots de passe les plus utilisés en 2016

  1. 123456
  2. 123456789
  3. qwerty
  4. 12345678
  5. 111111
  6. 1234567890
  7. 1234567
  8. password
  9. 123123
  10. 987654321
  11. qwertyuiop
  12. mynoob
  13. 123321
  14. 666666
  15. 18atcskd2w
  16. 7777777
  17. 1q2w3e4r
  18. 654321
  19. 555555
  20. 3rjs1la7qe
  21. google
  22. 1q2w3e4r5t
  23. 123qwe
  24. zxcvbnm
  25. 1q2w3e

D’après la firme, 123456 est encore un mot de passe qui cartonne : il était utilisé par 17 % des 10 millions de comptes étudiés. Ce chiffre est colossal. En pratique, cela signifie qu’un peu moins de 2 personnes sur 10 l’utilise. Si vous êtes 15 dans votre bureau, vous pouvez déjà commencer à avoir des doutes. Et le numéro 2 n’est pas plus sécurisé : 123456789 est certes plus long, mais une suite aussi simple sera normalement l’un des premiers tests d’un logiciel conçu pour craquer des mots de passe.

Le reste de la liste est du même acabit : entre les « password », les « google », les répétitions d’un même nombre, les petits malins qui pensent qu’intercaler 1234 et qwer feront des mots de passe convaincants et les suites à l’envers, rien n’est sécurisé. Quid des mots de passe qui ont l’air d’être générés aléatoirement ? Si on les retrouve dans cette liste, c’est qu’ils représentent un nombre élevé d’occurrences. Ils ne s’expliquent donc que par une chose : ce sont des mots de passe attribués automatiquement à des comptes par des piratages de grande envergure pour créer des botnets. Ils ne sont donc pas représentatifs d’une tendance.

Les chercheurs de Keeper Security ne savent plus très bien comment réagir : « La liste des mots de passe les plus utilisés ne change que très peu d’année en année, ce qui signifie que l’éducation des utilisateurs a ses limites. Même si de plus en plus d’utilisateurs ont connaissance des risques, très peu vont faire l’effort de se protéger  ».

Comment créer un mot de passe sécurisé

Profitons tout de même de cette occasion pour rappeler ce qu’est un bon mot de passe. Aujourd’hui, si vous ne souhaitez pas utiliser un gestionnaire qui va générer un mot de passe complexe et aléatoire pour chacun de vos comptes, le mieux est d’appliquer la « méthode XKCD », popularisée par l’éditeur de bandes-dessinées. Elle repose sur un postulat simple : un mot de passe est sécurisé s’il est long, s’il n’a aucun sens et s’il est facile à retenir (oui, cet aspect fait partie de la sécurité : vous ne voulez pas l’oublier).

Dès lors, XKCD conseille de choisir 4 mots communs qui n’ont rien à voir et de les associer. numeramaphotographielaurencehaimbureau a plus de force que j3su1sUnh4ck3r. Et puis se souvenir de 4 mots communs est bien plus simple que se souvenir d’où vous avez placé le 4 ou le 3. Il faut éviter en revanche les citations ou les phrases toutes faites, dans la mesure où certaines techniques « brute force » testent aujourd’hui très facilement des citations connues en piochant dans des bases de données en ligne ou des livres en accès gratuit.

Si vous voulez raffiner un poil votre mot de passe, vous pouvez partir de la même base et le modifier pour chaque service. Vous pouvez alors mettre le nom du service à la place d’un des 4 mots (numeramagmaillaurencehaimbureau) ou, si vous souhaitez aller encore plus loin, donner simplement un indice sur la nature du service dont vous vous souviendrez. Ainsi, votre mot de passe pour Gmail sera numeramamoncourrierlaurencehaimbureau et votre mot de passe Facebook sera numeramabigbrotherlaurencehaimbureau. Vous pourrez, bien entendu, ajouter des majuscules, un chiffre et un signe de ponctuation dans la suite, histoire de bien compliquer la tâche.

Une fois que vous aurez fait cela, n’oubliez pas d’activer la double authentification sur tous les comptes qui le permettent. Ainsi, vos comptes personnels devraient être particulièrement bien verrouillés.

En résumé, voici comment choisir un bon mot de passe : 

  1. Ne pas utiliser de mot de passe classique comme 123456 ou motdepasse
  2. Utiliser 4 mots courants qui n’ont pas de rapport (tablevachemonologueordinateur)
  3. Varier les mots de passe selon les services
  4. Utiliser des majuscules, des chiffres et des symboles

Partager sur les réseaux sociaux