Le classement 2021 des mots de passe les plus courants confirme ce que l’on craignait : encore beaucoup d’internautes ne prennent pas suffisamment au sérieux la sécurité de leurs comptes sur Internet.
1 « J'aime »
J’avais une ancienne pote … son mot de passe c’était son prénom et son nom à la suite … Niveau sécurité elle était totalement zéro… Elle cliquait dans des faux liens croyant que c’était sa banque, et elle s’était fait arnaqué de 1500 balles sur son compte, quand on est con … xD
4 « J'aime »
Il faut surtout être fou pour laisser ses mots de passes à Nordpass qui s’empresse de les étudier, et de jouer avec, comme on peut le voir dans cette étude.
C’est une question de confiance.
Et ils se vantent d’avoir une architecture sans connaissance des données…
https://support.nordpass.com/hc/en-us/articles/360002378858-What-is-a-zero-knowledge-architecture-
Mais ça ne les empêche visiblement pas d’utiliser les données de leurs utilisateurs à des fins d’autopromotion, et en plus à leurs dépens. Regardez comme nos pigeons de clients sont cons avec leurs mots de passe pourris.
3 « J'aime »
En même temps on demande des mots de passe pour tellement de choses, on ne met des mots de passe compliqués que lorsque que c’est important ou parce que l’administrateur du site a la grosse tête en surestimant l’importance des comptes de son site ce qui arrive malheureusement de plus en plus souvent.
2 « J'aime »
« x4ivygA51F » et « Bajaonel12 » sont les mots de passe les plus sécurisés du top 200. Il faut environ 12 jours pour les craquer.
Euh, sympa de les diffuser du coup ? Ils vont vite chuter du classement 
Sinon, j’aimerais bien savoir si on se parle de mots de passe fréquemment utilisés ou juste enregistrés. Car on a tous dans nos sauvegardes de mots de passe des sites qu’on n’utilise plus depuis des années voire qu’on a utilisé qu’une fois… j’imagine que ça doit peser dans les résultats.
Sinon, on peut rappeler qu’un mot de passe « Maison+Dragon+Soleil » reste quand même assez sécurisé par sa longueur, l’ordre des mots, les majuscules, le caractère spécial… et permet de s’en souvenir !
1 « J'aime »
Avec la génération automatique, la synchro des mots de passe et les SSO, ça commence à être un peu plus facile d’avoir des accès protégés partout.
Par contre, dès que t’es pas sur un de tes devices qui a accès à ton trousseau, tu réalises que tu connais plus aucun mot de passe, c’est gênant.
Typiquement, sur mon PC de travail il m’arrive d’avoir besoin de me connecter à des comptes persos, pourtant j’ai pas trop envie d’y charger tout mes mots de passe.
1 « J'aime »
C’est exactement pour ça que je ne comprends pas l’attrait des gestionnaires de mots de passe. A titre personnel j’ai l’impression que le passphrase avec caractères spéciaux est la meilleure façon d’avoir un mot de passe sécurisé que l’on retient sans peine.
J’utilise un gestionnaire de mot de passe (un truc gratuit open source : Keepass) depuis environ 6 ans, et j’avoue avoir du mal à comprendre comment faire sans, sauf à entrer le même mot de passe partout, ou à utiliser des mots de passe simple
Dans les deux cas les buts sont identiques : arriver à s’en souvenir, et, aussi, tout faire pour ouvrir la porte aux pirates
J’essaie de convertir mon entourage à l’utilisation d’un gestionnaire, mais la résistance à cet usage est incroyable. Il faut que les gens se fassent pirater, voire dépouiller, pour comprendre. Et encore, même ceux à qui ça arrive refusent d’envisager la solution du gestionnaire
Bref les pirates, même amateurs, ont de beaux jours devant eux
PS : rien à voir mais un peu quand même, je viens d’attaquer la série Mr ROBOT sur Netflix. Formidable !
3 « J'aime »
- Tout d’abord, afin qu’il n’y ait pas de malentendu, je sécurise à fond mes mots de passes.
Donc si je prend la défense de l’utilisateur « lambda » ce n’est pas parce que moi-même j’ai ce genre de travers.
Ceci dit, je suis tout de même stupéfait de la chasse aux sorcières non faites aux pirates, mais aux usagers.
Si je m’en réfère à des façons de faire dans pleins de domaines, cela semble être la règle de s’en prendre aux victimes plutôt qu’aux agresseurs.
Je me verrais mal invectiver une victime de viol car elle n’a pas fait attention à sa tenue, plutôt que de renforcer les outils pour empêcher que cela se produise.
Cela n’enlève pas la prévention personnelle, mais il ne faudrait pas se tromper de coupables.
- Les fameux gestionnaires de mot de passe, ne sont pour moi, pas une garantie de sécurité.
Quand ils sont locaux il faut faire attention d’avoir une sauvegarde de la config car si on doit changer ou formater son ordi, on perd tout. Surtout pour moi qui ait plusieurs terminaux personnels et professionnels avec des systèmes différents (PC, Mac, Linux, Solaris …)
Quand ils sont hébergés, certains ont des coûts non négligeables, et si on est protégés des hackers du dimanche, on est quand même à la merci d’entreprises privées.
C’est d’ailleurs le même problème pour les vpn, ils n’empêchent pas une exploitation soit par l’entreprise, des « partenaires » et de la justice (on est d’accord pour certains faits odieux c’est tant mieux)
- Enfin, croyez-vous sincèrement que la « force brute » (trouver un mot de passe par décryptage en les faisant tous ou par algorithme maison sans s’en référer à des astuces ou des mots de passes faciles) n’arrivera pas à avoir raison de n’importe quelle complexité de mot de passe un jour proche ?
Vous auriez tort de pensez qu’un cryptage sur 256bits, même 2048 sera suffisant, car avec l’informatique quantique cela va tout exploser toutes nos certitudes 
2 « J'aime »
rien de mieux que la phrase de passe
du genre
JhabitEdansTelleVilleAunumro@
on risque pas d’oublier et c’est pas facile à trouver
1 « J'aime »
3 sextillion d’année pour mon mot de passe actuel
ca va j’ai le temps de voir venir XD
et pour ceux qu on pas compris
go Keepass ou autres
… Mais aussi, ceux qui demandent des mots de passe à tout bout de champs…
Récemment pour la carte de fidélité d’un supermarché, ils m’ont demander un mot de passe; en plus un mdp dit « sécurisé », avec lettres majuscules et minuscules, chiffres et symboles obilgatoires: De vrais paranos pour gagner quelques centimes…
Mais sinon les navigateurs possèdent un gestionnaire de mot de passe qui propose gratuitement de fournir un mot de passe unique et sécurisé pour chaque site nan ?
J’ai mon gestionnaire de mot de passe au boulot, c’est pas pour autant que n’importe qui a accès à mes mots de passes, c’est tout l’interet du chiffrement.
Une fois que tu as mis le mot de passe que tu veux, ton coffre fort se verrouille automatiquement et personne pas meme toi n’y a accès.
Par exemple pour les gens qui ont un fichier texte avec leurs mot de passe et les copient collent… il suffit qu’un tiers fasse Windows + V pour avoir accès au mot de passe en clair, n’en parlons pas si tu as la synchronisation du clipboard
2 « J'aime »
Sauf que par sécurité tu dois utiliser un MDP différent pour chaque compte car si l’un d’entre eux est piraté tu dois changer le MDP de TOUS tes comptes, et quand tu as 500 comptes différents, franchement ça saoule.
Sinon comment sont faites ces stats, car bon si on compte les millions de comptes fictifs, dont on se fiche pas mal que le MDP soit sécurisé ou non, ca risque de fausser un peu les stats quand même …
Il y a une chasse aux pirates, mais c’est compliqué de protéger sans impacter l’expérience utilisateur. Le problème c’est les différents types d’attaques :
- Il y les outils qui vont tenter massivement d’ouvrir des comptes sur un service, qui font ça à grande échelle dans le seul but d’en trouver un qui fonctionne.
- De l’autre côté, il y a le pirate qui vise un cible précise, soit parce qu’il la connait, soit parce qu’il a une idée de comment l’avoir.
Pour avoir vu une « petite » attaque bruteforce, c’est super compliqué quand t’as des milliers d’IP différentes qui se connectent et font chacune une tentative avec un mot de passe différent.
Du coup tu mets un captcha, un délai exponentiel entre 2 essais sur un même compte, puis une 2FA et une notification de connexions suspectes. Sauf que du coup t’es obligé d’impliquer l’utilisateur, soit en dégradant son expérience soit en augmentant tes exigences envers lui.
La base, c’est quand même de pas mettre azerty en mot de passe et de pas avoir ce même mot de passe pour ta banque et pour Clubic, au même titre que tu mets pas une clé de placard sur ta porte d’entrée ou sur ta voiture, alors qu’on devrait s’en prendre aux voleurs plutôt qu’à ta serrure.
Pas grand monde considère qu’un mot de passe ou un hash stocké avec chiffrage est infaillible, que ce soit du côté de l’éditeur du site/service ou de l’outil qui le sauvegarde chez l’utilisateur.
Simplement ça réduit le nombre d’attaquants potentiels (le petit hacker amateur sur son laptop vs le groupe expérimenté avec des milliers de serveurs zombies à disposition) et ça augmente le temps nécessaire pour faire aboutir l’attaque (= accéder à la donner puis la lire), avec une chance de la repérer puis l’interrompre avant, ou à défaut d’en limiter les conséquences (comme les campagnes de changement de mot de passe suite à des attaques réussies).
Comme la serrure, on fait au mieux pour empêcher d’entrer. Même si on sait que c’est pas infaillible, car on peut éclater la porte, passer par une fenêtre, agresser la personne qui en a la clé…
Alors globalement, oui, il y a une injustice à contraindre tout le monde à se verrouiller de tous les côtés pour quelques malveillants qui veulent nuire, ou parfois juste profiter pour eux-mêmes (quand ils pillent un compte, c’est plus pour s’enrichir que pour appauvrir la victime). Mais ce problème là, on a quand même pas cru qu’il était apparu avec Internet ?
4 « J'aime »
Parce que ceux qui mettent 123456 en mdp ne s’informent pas sur les hacks. C’est plus vu comme une contrainte (la demande de mdp) qu’ils veulent finir rapidement en fournissant le moins d’effort intellectuel possible.
1 « J'aime »
Le problème des gestionnaires de mots de passe avec génération automatique est que, autant ça marche bien pour les PC et smartphones, autant ça devient vite une grosse galère sur les périphériques non utilisables avec le gestionnaire en question, genre les TV connectées ou les consoles de jeux.
Tu regardes l’écran de la console avec ton gestionnaire ouvert à côté et tu tapes tout manuellement à l’ancienne, ce qui est fastidieux quand on prend un mot de passe long avec beaucoup de règles de sécurité.
Certains ont essayé de contourner le truc en permettant la connexion en passant par un périphérique de confiance, mais ça ne suffit pas toujours suivant le cas de figure.
Sinon, pour en revenir à la sécurité, il y a de plus en plus de sites qui exigent le quatuor Minuscule Majuscule Chiffre Caractère spécial. Ça limite quand même les risques, même si il y a certains mauvais élèves qui interdisent certains caractères spéciaux car ne veulent pas se prendre la tête avec les subtilités du français et des claviers AZERTY ou qui impose sa propre manière de faire à cause d’un webmaster psychorigide qui veut jouer au petit chef.
Et en général ce sont souvent les sites administratifs et les banques qui se distinguent en ce sens. Toujours les mêmes relous quoi.
J’évite d’utiliser un gestionnaire de mot de passe pour justement éviter que ma liste complète puisse se retrouver dans les mains d’un pirate qui aura trouvé l’unique mot de passe qui protège ma liste !
Pour arriver à me souvenir de tous mes mots de passe, j’utilise une partie fixe qui ne change pas avec une partie propre à chaque site facile à me souvenir. Comme «MotDePasseClubic.com» avec différentes variations si le site veut des chiffres en plus et des caractères spéciaux.
Reste que ce qui rendrait les sites plus sécuritaire, ça serait de juste limiter le nombre d’essai… Si un utilisateur ne peut pas essayer plus d’un mot de passe par seconde, avec une incrémentation du délai à chaque erreur, on s’entend que même un mot de passe de 6 lettres avec masjuscule/minuscule pourra prendre plus de 626 ans à deviner si le site ne permet pas plus de 1 essai/seconde ? (près de 20 milliards de combinaisons possible)
1 « J'aime »
Pour mes mots de passe , j’ai l’habitude de mettre majuscule, minuscule, chiffre et symbole.
Mais certains sites n’autorisent pas les symboles par exemple, ce qui est dommage.
Par contre le coup de les changer tous les mois, je ne le fais pas, je change un peu n’importe quand.
Je trouve un peu parano de changer aussi souvent.
Puis façon aucun mot de passe n’est inviolable, certains seront juste plus longs à être cracké…