Commentaires : Incroyable mais vrai, le mot de passe le plus courant en France en 2023 est toujours le plus simple du monde

Dans le monde entier mais aussi en France, le mot de passe le plus utilisé en 2023 demeure l’iconique « 123456 », déchiffrable en moins d’une seconde. Dans la liste, ceux qui suivent ne sont pas bien plus difficiles à trouver.

Ben non ce n’est pas « incroyable mais vrai ». Il n’y a aucune chance que ça évolue sensiblement (au pire azerty prendra la place de 123456, ou autres échanges de position).
C’est tout le principe du classement : on prend les mots de passe les plus courants. On tombera FORCÉMENT sur les mots de passe les plus moisis, même si l’éducation du public s’amélior[e/ait]. Un mot de passe correctement fait (génération aléatoire) est par définition rare si ce n’est unique et n’apparaitra donc jamais au classement.
Plutôt que de faussement s’étonner que le classement reste à peu près le même, il serait plus intéressant d’analyser l’évolution de la fréquence de ces mots de passe courants (est-elle globalement en baisse ? stable ? en hausse ?), et l’évolution de la répartition des mots de passe par type : suites simples, mots/noms/dates vulnérables aux attaques dictionnaire les plus simples, mots de passe simples déguisés pour se conformer à des règles imposées ou apprises mais vulnérables aux attaques dico sophistiquées (substitutions, ajout de caractères spéciaux ou chiffres à la fin …), et enfin mots de passe apparemment aléatoire et/ou n’ayant pas pu être retrouvés à partir d’une fuite de hash salés.

6 « J'aime »

Je pense que la plupart des sites parmi les plus visités mettent en place des règles maintenant pour éviter ça. C’est même une nécessité.

Pourtant, peu de gens sont au courant qu’il existe des excellents gestionnaires de mots de passe sécurisés.

Quasiment tous les sites obligent maintenant à une lettre majuscule, minuscule, un chiffre et un signe.

Pour les autres, les suites de chiffres ou nombres comme 987654 ne posent pas de problème s’ils ont mis une limitation du nombre d’erreurs de mot de passe.

Dans tous les cas, il faut mettre une limitation du nombre d’erreurs de mot de passe avant un blocage de l’adresse IP.

1 « J'aime »

La tendance vas aussi vers la connexion sans mot de passe. On rentre son identifiant puis on reçoitpaf email un lien avec un token. Bon par contre l’email lui reste avec « 123456 »…

Je ne vois pas ou est le problème, un site qui t’oblige de faire une inscription pour avoir une information… chez moi c’est mail poubelle et mot de passe 123456. Je ne vois pas pourquoi j’irais mettre un mot de passe complexe pour un site ou je ne rentre pas de donnés personnelles/ ou que je ne compte pas garder au long terme.

J’aime beaucoup « Cheval » :crazy_face:

Déjà la source est discutable …
« base de données collectées notamment sur le dark web »

Et 86000 sur combien ?!?

moi j’ai 123456! car personne n’est capable de calculer le factoriel de 123456
d’où l’intérêt de si connaitre en math

3 « J'aime »

Exactement comme écrit précedemment, une base de données issue du dark web comme source. Base de données dont on ne sait rien : de quand date t’elle ? est ce que les sites impactés ont forcé le cgt de mdp ? combien de 123456 sur un total de combien de mdp stockés ? etc etc …
Bref, pas grande valeur ce résultat. Sans compter que comme écrit aussi précedemment, il n’y a plus bcp de site/apps/etc… qui autorise 123456 comme mdp…

Même sans cette règle, limiter le nombre de tentatives dans un certain laps de temps est un indispensable. La plupart l’ont mis en place heureusement.

Grâce à cette sécurité, suffit de prendre le dixième mot de passe utilisé et t’es tranquille un moment !

Je ne vois pas ce qu’il y a d’incroyable.
Il y a peu de chance que ça devienne : B3RnarDdU72$
(il y a pas assez de Bernard)

« marseille » c’est 9 lettres sans majuscules ni chiffres ni caractères spéciaux. Pourquoi il prendrait une journée quand les autres mots de passe du même type ne prenne qu’une seconde ?
Le graphique sur la page Combien de temps un pirate met-il pour trouver votre mot de passe ? Comment vous protéger ? - francenum.gouv.fr indique bien que ce n’est pas une journée mais moins d’une seconde comme les autres mots de passe pour cracker « marseille ».

Quel est le contexte ?
Là dedans il y a probablement le mot de passe Windows du PC utilisé par toute la famille ou des sites dont on se fiche qui demandent à s’inscrire pour télécharger un fichier…

Parce que Clubic a repris sans esprit critique ni aucune réflexion (en témoigne le titre : on s’étonne d’une tautologie), l’analyse sans contexte faite par « nordpass » plus par marketing que par démarche de recherche (dans le sens scientifique).
Ils ont dû tout passer à la même moulinette basique, dans laquelle « marseille », un exemple franco-français, n’apparaît pas comme une entrée basique de dictionnaire (sans même une substitution ou des ajouts de chiffres/spéciaux) mais comme un aléatoire de 9 lettres sans chiffres ni mix de casse ni spéciaux. Ils ont dû faire la même chose pays par pays sans contextualiser, et avec un dictionnaire américain et franchement limité.
Tout vrai dictionnaire d’attaque doit commencer par les mots de passe les plus populaires de tous les pays (donc marseille doit figurer en bonne place, vu que ce n’est pas sa première apparition dans ces classements), suivi des dictionnaires de langues et noms propres et des résultats des fuites précédentes.

Tu es loin du compte.

La limitation des essais n’est qu’une rustine qui protège un peu le site qui l’utilise, contre les petites tentatives personnelles/malveillantes/par des proches, rien de plus. Ce n’est certainement pas une mesure de sécurité forte qui autorise comme tu l’affirmes à utiliser des mots de passes bidon puisque ne faisant pas partie des N première tentatives.
Les blocages sont généralement temporaires (le gars qui te cherche des noises réessaiera plus tard), et de telles attaques sont de toute façon automatisées si elles sont faites non pas pour te cibler spécialement mais par un groupe malveillant. Les attaquants ayant accès à des botnets (= 0 problème de limite ou de blocage d’ip) dépasseront vite le nombre de tentatives que tu penses nécessaires pour deviner ton mot de passe bidon.

De plus beaucoup de gens réutilisent les mots de passe. Si tu sais que jean dupont arobase gmail point com rentre sur fnacazone point org avec le mot de passe T@rtampion12, tu tentes ça directement sur tout un panel de sites plus ou moins connus, soit pour utiliser les accès ainsi gagnés, soit pour les revendre.
C’est là que les fuites interviennent. Elles ne proviennent JAMAIS de tentatives au pif dans les formulaires de login. Elles proviennent d’exploitation de failles de sécurité (détectées automatiquement), d’attaques/intrusion ciblées sur des entreprises (et aucun niveau de sécurité ne permet d’être totalement invulnérable) … . La fuite sort une base de données où, en général, les mots de passe sont hashés. Justement pour éviter qu’ils apparaissent en clair aux bénéficiaires d’une fuite (ou à un employé mal intentionné). Sauf que le hash, c’est un algo irréversible mais pas aléatoire. Si le hash de 987654 est GGGTTT, alors dès que tu vois « GGGTTT » dans la fuite, tu sais que le mot de passe était 987654. Ton mot de passe pourri est extrêmement vulnérable à ça : à la première fuite, malgré le hash, il sera reconnu dans un dictionnaire inversé de hash pré-calculés et pourra être utilisé bien sûr sur le site qui a fuité mais sur tout autre où tu aurais utilisé le même mot de passe (peu importe si c’est avec le même login ou mail : les recoupements entre fuites permettent de faire correspondre les identités des gens). Si ton mot de passe était « m9Y@6g7BEd4o^kdd », il n’existe pas dans le dico et malgré la fuite tu es tranquille un moment (mais bon autant le changer quand tu es au courant de la fuite, et plus encore si tu l’as utilisé ailleurs). Après il y a la notion de SEL, qui creuse la différence entre un bon et un mauvais mot de passe. Si le hash de 987654 était GGGTTT, mais que le site dont les données ont fuité était bien fait, il applique un sel différent pour chacun : pour toi ça sera Hika (en général c’est aléatoire, je mets ça pour l’exemple), ton mot de passe hashé n’est donc plus GGGTTT mais le hash de 987654Hika à savoir disons EEDFVV. Ce n’est pas dans un dictionnaire, mais les groupes qui ont accès à la fuite ne vont pas s’arrêter là puisqu’ils ont les hash sous la main et aucune limite d’essais : ça prend des secondes pour recalculer des millions de hash : on prend un dictionnaire d’attaque, on accole le sel de chaque utilisateur (qui a forcément fuité en même temps que les hash) à chaque entrée (11111Hika, 222222Hika, azertyHika) et on calcule tous les hash jusqu’à en trouver qui correspondent. Et là magie, on tombe sur « EEDFVV » en calculant le hash d’une des premières entrée du dico avec ton sel : « 987654Hika ». Plus qu’à ajouter ton identifiant (et tes autres identifiants connus) avec le mdp « 987654 » à la liste des couples id/mdp connus, vendus, et tentés ailleurs. (je ne parle pas du cas où le sel est le même pour tout le monde -dans le code mais pas la bdd- et n’a pas forcément fuité avec les données, ou du cas idéal où il y a les deux, mais l’idée générale reste la même).

Le hash est différent à chaque fois. Il n’existe pas de traducteur inversé. Sinon, ce serait pas du tout sécurisé.

Tu ne comprends pas (ou tu n’as pas pris la peine de lire)
Il n’existe pas d’ ALGO inversé. Mais le hash est déterministe (non, il n’est pas « différent à chaque fois », sinon il serait inutilisable. Après il y a la notion de sel que j’ai détaillée dans mon message précédent). Les gars ont des hash pré-calculés. Ils ont déjà des tables avec des milliards de mots de passes (dico, dico+substitutions/chiffres/spéciaux, mdp issus de fuites précédentes) et leurs hash correspondants avec les algo les plus courants (md5, sha256 …). Il suffit d’indexer ça et de faire une recherche inversée.
Et d’autre part, même avec du sel, les gars peuvent se permettre de recalculer des hash à la volée lors d’une fuite, pour retrouver les mots de passe. Pas en inversant l’algo, mais simplement en calculant le hash de tout un tas de mots de passes hypothétiques puis en comparant les hash calculés avec les hash fuités.
C’est d’ailleurs exactement ça qui est calculé quand, dans des articles comme celui de clubic aujourd’hui, on te dit que ce mot de passe résisterait « moins d’une seconde » ou « moins d’une journée » : c’est le temps de calcul des millions ou milliards de hash qui seront calculés avant de tomber sur celui de ton mot de passe (et donc sur ton mot de passe lui même, puisqu’on sait de quoi on a calculé les hash)