Une étude récente menée par Dashlane et Virginia Tech sur les mots de passe les plus couramment utilisés a révélé certains des pires passwords en 2018.
Pour l’étude, les chercheurs de Virginia Tech ont fourni à Dashlane une liste contenant 61,5 millions de mots de passe anonymisés. Cette liste a été créée à partir de 107 listes individuelles de mots de passe disponibles sur les forums et dans les archives de données, dont un grand nombre proviennent de violations de données antérieures.
L’analyse de la liste a révélé de nombreux thèmes communs. Il s’agit notamment des noms des équipes sportives les plus populaires. Au Royaume-Uni, les passwords les plus courants étaient par exemple Liverpool, Chelsea et arsenal, les meilleures équipes de football de la Première Ligue.
Des marques de renom ont également été choisies, telles que Coca Cola, Snickers, Mercedes, Skittles, Mustang, Playboy, Myspace et LinkedIn.
En outre, des groupes et des références cinématographiques figuraient parmi les choix les plus courants, à l’instar de Spiderman, Superman, Starwars et Pokémon – tous des choix communs – ainsi que des expressions de frustration du genre « a**hole », « bull**** », et « f*** ».
Le rapport Dashlane montré que malgré les avertissements sur le risque d’utiliser des mots de passe faciles à mémoriser, les utilisateurs finaux choisissent encore des mots de passe faibles. Une autre tendance particulièrement inquiétante est l’utilisation de mots de passe qui sont apparemment sûrs, mais ne les sont pas du tout.
Par exemple, 1q2w3e4r5t6t6y et 1qaz2wsx3edc peuvent sembler être des mots de passe relativement sûrs. Pourtant, la façon dont ils sont créés les rend faciles à deviner. Bien entendu, ils sont meilleurs que « mot de passe » ou « letmein », mais ils sont encore considérés comme faibles.
Pourquoi ?
Parce que ces passwords sont créés par un processus que Dashlane appelle « Password Walking ». Il consiste à utiliser des lettres, des chiffres et des symboles à côté les uns des autres sur un clavier. Des variations plus simples sur ce thème sont qwerty et asdfghjk.
Pour contourner ces règles communs des mots de passe, on peut utiliser la même technique, mais en incorporant des lettres majuscules et des symboles.
L’étude montre que même si de nombreux dirigeants d’entreprises recommandent vivement à leurs collaborateurs finaux de définir des mots de passe forts, les employés ignorent souvent ces conseils ou choisissent des mots de passe qui passent les contrôles de sécurité, mais qui ne sont pas vraiment « sûrs ».
Comment choisir un bon mot de passe ?
Un bon mot de passe ne doit pas figurer dans les dictionnaires ni contenir des nombres séquentiels. Il ne doit pas également être créé en tapant avec les doigts des touches à côté les uns des autres le long d’un clavier. En outre, il faut éviter les noms de marque et d’endroit.
Les mots de passe doivent comporter un minimum de 8 caractères et être uniques. Ils ne doivent jamais être utilisés auparavant ni être réutilisés sur une autre plate-forme. Il est également recommandé d’utiliser au moins une majuscule, une minuscule, un symbole et un chiffre.
Si toutes les lettres minuscules sont utilisées, vous avez donc une combinaison de 26 lettres. Ajouter les majuscules vous permet de doubler les possibilités et d’en avoir 52. Bien entendu, vous pouvez encore utiliser les 10 chiffres pour augmenter les options à 62 et les 32 caractères spéciaux, ce qui porte le total à 94 combinaisons.
Avec tant d’options et de combinaisons possibles, les mots de passe générés au hasard sont particulièrement difficiles à deviner. Attention toutefois, car ils sont souvent difficiles à mémoriser.
Récemment, ce problème a été reconnu par le National Institute of Standards and Technology (NIST), qui a révisé son avis sur les passwords (voir publication spéciale 800-63B).
En réalité, l’utilisation de chaînes aléatoires de caractères et de symboles rende les mots de passe particulièrement difficiles à deviner et plus résistants aux tactiques de devinettes des pirates informatiques. Néanmoins, les utilisateurs finaux ont souvent des difficultés à s’en souvenir, ce qui entraîne des comportements particulièrement risqués, par exemple en enregistrant leurs passwords dans un navigateur.
Ainsi, le NIST suggère l’utilisation des « phrases de passe » plus longues, plutôt que des mots de passe. A titre d’exemple, vous pouvez utiliser « Iboughtacarwithmyfirstpaypacket » ou « ifihadahorseIwouldcallititDave ».
Les phrases de passe sont plus conviviales et plus faciles à mémoriser, alors qu’elles sont mieux sécurisées, à condition qu’un nombre suffisant de caractères soit utilisé.
Autre élément important : les entreprises limitent souvent le nombre minimum de caractères à 16 pour les mots de passe. Au lieu de cela, elles devraient envisager de le porter à au moins 64 et faire en sorte qu’ils puissent accepter tous les caractères ASCII imprimables, y compris les espaces et les caractères UNICODE.
Étant donné que certains utilisateurs finaux tenteront encore de définir des mots de passe faibles, il s’avère donc important d’incorporer des contrôles qui pourraient les empêcher de choisir les passwords les plus couramment utilisés. Chaque fois qu’ils en choisissent un, il faut donc s’assurer que le mot de passe est bien absent des listes noires avant de pouvoir être défini.