Les années passent et rien ne change. Bien que le télétravail ait pris de l’importance et qu’une grande partie de nos vies administratives se dématérialisent, l’usage de mots de passe « ultra simples » reste d’actualité. La dernière étude de NordPass est inquiétante.
Il y a de plus en plus de personnes qui dépendent d’une connexion Internet pour leurs activités quotidiennes mais la sécurité est loin d’être une priorité.
Selon le Top 200 des mots de passe les plus courants en 2022 de NordPass le mot de passe « password » (mot de passe en anglais) continue d’être le choix numéro un. Il a été détecté plus de 5 millions de fois dans une base de données de 3 To. En matière d’attaque informatique il faut moins d’une seconde pour le trouver. La seconde place est occupée par le tristement célèbre « 123456 » suivi de son frère plus long « 123456789 ».
NordPass ajoute
Il y a plus d’une façon de se faire escroquer sur Tinder: utiliser « tinder » comme mot de passe est risqué […] Au total, ce mot de passe a été utilisé 36 384 fois. L’événement cinématographique le plus fastueux de l’année – la cérémonie des Oscars – a inspiré beaucoup de gens puisque ce nom a été utilisé 62 983 fois.
Il n’est pas surprenant que des internautes se tournent vers certains films pour trouver de l’inspiration. Ainsi « batman » est actuellement l’un des mots-clés les plus utilisés pour sécuriser un compte Internet. Des films et des émissions comme Euphoria et Encanto ont été parmi les sorties les plus populaires en 2021/2022. Tous sont également des mots de passe populaires. « Batman » a été utilisé 2 562 776 fois, « euphoria » 53 993 fois et « encanto » 10 808 fois ».
Le mot de passe le plus courant aux États-Unis est « guest », tandis qu’au Royaume-Uni, beaucoup de gens optent pour « liverpool ».
Ils sont tout simplement stupides. 👎🏻
Des paresseux. 👎🏻
Ce qui est étonnant, comment peuvent il savoir tout les mots de passe puisque c’est censé être protégé ?
L’article parle d’une base de donnée de 3To, j’imagine que ça vient des différents piratages et autres fuites de données dont on entend parler régulièrement. Une fois qu’on a récupéré une base de mot de passe, j’imagine qu’on peut “facilement” la décrypter, en tout cas on a tout le temps de le faire. Une fois décrypté, ce genre d’info se retrouve sur les forums du darkweb. J’imagine que NordPass a récupéré ces 3To de mot de passe sur ce genre de forum.
Parfaitement illustré par Happy Hogan dans Spider-Man: Far From Home.
Le plus inquiétant ce n’est pas la complexité du mot du passe mais
plutôt le laxisme du système d’authentification qui ne limite pas
le nombre d’essais invalides afin de bloquer tout piratage de
de mot de passe par force brute.
A titre d’exemple, les sites bancaires exploitent des mots de passe
strictement numériques relativement courts de moins de 10 chiffres
facilement mémorisables tout en limitant à moins de 5 le nombre
d’essais invalides.
Par ailleurs, le système d’authentification pourrait également
appliquer une restriction géographique afin de réduire au maximum
la surface d’attaque.
Ta gueule !
Non ! Non ! Et non !
Tu ramènes ta science !
Tu tapes entrée alors qu’il y a un RETOUR À LA LIGNE AUTOMATIQUE pauvre malade !
Ce n’est pas le laxisme de l’authentification ni une telle restriction dans le monde entier contre de telles attaques mais ton commentaire ultra dégueulasse !
Purizuna n’a même pas honte de faire fuir les lecteurs avec ses embrouilles à la con et sa manière de pourrir les constructeurs et les géants du net par de tels termes hors sujet qu’il serait le premier à subir une attaque pirate si seulement il s’en préoccupe !!!
Je ne sais pas ce que tu fais de ta vie mais ta manière de critiquer de manière grotesque et ubuesque mène droit à un piratage de l’un de tes comptes, voire même un règlement de comptes de la part d’un internaute tombé par hasard ! Jouer à un jeu dangereux mène droit à un piratage, voire même un ransomware dans ton crâne ! Et vivement que ta tête soit cryptée avec une rançon !
Pas étonnant que ton compte bancaire piraté et vidé ?
Vu ta vie privée dévoilée et ta cryptomonnaie de merde, tu fais fuir les lecteurs avec tes grosses conneries, tu vas finir dans le rouge !!!!
Je suis bien d’accord avec toi.
Office 365 et Azure permet de limiter les zones géographiques. Par exemple, tu ne peux te connecter que depuis une IP française, ou alors, si tu te connectes depuis une IP à Brest et qu’une heure après tu te connecte depuis une IP à Strasbourg, c’est suspect donc ça ne passe pas. On peut aussi limiter un compte utilisateur pour être lié à tel ou tel matériel, il ne pourra donc pas se connecter depuis une autre machine. On peut aller super loin aujourd’hui.
Je crois que c’est sur les distrib dérivées de Debian (je ne sais pas si c’est général à Linux), tu n’as aucune limitation du nombre d’essai de mot de passe, par contre tu as un temps qui augmente à chaque fois que tu te trompes. Par exemple, si tu as 5s d’attente pour ton premier essai et que tu doubles le temps d’attente à chaque erreur, tu as déjà plus d’une minute d’attente au bout du 5e essai. Si tu as du temps, tu y arriveras, mais la force brute sera très chronophage, il faut vraiment que ça vaille la peine de se connecter sur ton poste.
OK, Purizuna troll souvent, mais là il n’y a aucun troll, juste des principes de base en sécurité informatique. Vous avez si peu d’argument que ça pour devoir partir direct dans les insultes, ou vous n’avez aucune notion de sécurité informatique?
Si, là je crois que ça manque d’arguments quand vous parlez de notion informatique.
@Fritz
Je pense que tu ne m’en voudras pas si je ne dis rien sur le commentaire de Asparoukh 🙂
Toi et aa.aa@aa.aa, vous parlez du compte de Purizuna, donc on peut commencer par ça.
Purizuna parle de la sécurité des sites bancaires qui utilisent de simple code numérique mais qui bloquent la connexion au bout d’un certain nombres d’essais, et l’un comme l’autre vous dites qu’il va se faire pirater son compte. Je comprend donc que pour vous, un système avec un code numérique avec un blocage au bout de trop d’erreurs c’est un mauvais système de sécurisation. J’espère que vous n’avez pas de carte bancaire parce qu’elle n’a qu’un code à 4 chiffres contrairement à l’exemple de Purizuna qui parle d’un code à 10 chiffres. Votre carte bancaire est donc moins bien sécurisée que le site bancaire de Purizuna?
Limiter le nombre d’essais n’est pas le seul moyen de bloquer le brute de force pour un code numérique. Certain téléphone ont un temps de réponse qui augmente à chaque erreur sur le code de déverrouillage. Si par exemple on a un délai de 5s pour la première erreur mais que ça double à chaque erreur, au bout de la 5e erreur il faut attendre plus d’une minute pour refaire un essai. Le brute de force est possible puisqu’on peut faire autant d’essai qu’on veut mais il risque d’être chronophage, et donc hors de prix pour le pirate.
Purizuna parle de restriction géographique. C’est possible aujourd’hui avec Office 365 et Azure, et j’imagine que ce ne sont pas les seuls. Peut-être qu’il y en a qui pensent que Microsoft n’y connait rien en sécurité informatique?
Aujourd’hui, on peut empêcher quelqu’un de se connecter aux données de l’entreprise stockées chez Microsoft si il se connecter depuis une IP qui est à l’étranger. On peut également le bloquer si il se connecte depuis Strasbourg alors qu’il y a une heure il était connecté depuis Brest. On peut aussi très bien permettre à un utilisateur de ne se connecter que depuis un poste en particulier.
On peut très bien obliger les gens à avoir des mots de passe de 48 caractères minimum, avec au moins 5 majuscules, 5 minuscules, 3 chiffres et 2 caractères spéciaux, le mot de passe sera super compliqué à trouver en brute de force, il demandera une grosse puissance de calcul etc, mais les gens ne le retiendront pas, ils le noteront sur un post-it, et votre super mot de passe ne servira plus à rien. Si vous ne mettez que ça en place comme système de sécurisation, je ne suis pas certain que ça tiendra très longtemps. Purizuna parle d’un code à 10 chiffres, donc facile à retenir sans post-it, avec seulement 5 essais, donc impossible à attaquer par brute de force, et le tout géolocalisé, donc limitant géographiquement le nombre d’attaquant. Le premier est facile à mettre en place mais chiant pour l’utilisateur, le 2nd est compliqué à mettre en place mais facile pour l’utilisateur. Avec un système ou avec l’autre, le pirate qui veut rentrer rentrera, alors autant faire chier le pirate plutôt que l’utilisateur.
@Fritz, je n’ai pas dit “notion informatique” mais “notion de sécurité informatique”
Purizuna parle des sites bancaires avec un mot de passe numérique limitant le nombre d’essai, et vous êtes plusieurs à lui répondre qu’il va se faire pirater son compte. Il parle d’un code à 10 chiffres, une carte bancaire à un code à 4 chiffres, est ce que ça veut dire qu’une carte bancaire n’est pas sécurisé?
Oui et non, n’importe qui pourrait voir le code secret si la victime ne réfléchit pas.
@Fritz, c’est clair que la première faille de sécurité c’est l’utilisateur. Même ceux qui travaillent dans la sécurité informatique peuvent cliquer sur un lien par inattention, un jour de moins bien.
@Fritz
Purizuna parle de restriction géographique. Ce n’est pas de la science fiction, c’est de la réalité aujourd’hui avec Azure et Office 365, mais j’imagine que ce ne sont pas les seuls. Il est tout à fait possible aujourd’hui de bloquer les connexions qui viennent de l’étranger, ou alors de t’empêcher de te connecter depuis Marseille alors qu’il y a une heure tu étais connecté depuis Lille.
@Fritz
Un mot de passe trop complexe ça fait chier les utilisateurs, ils finissent par le mettre sur un post-it donc il ne sert à rien. Aujourd’hui on peu bloquer les connexions suspects par rapport à l’endroit d’où on se connecte, ou par rapport au nombre d’erreur de mdp, ou avoir une double authentification. Si on met en place tout ces systèmes, on peut facilité la vie des utilisateurs (mot de passe plus simple à retenir) tout en faisant chier les pirates.
Un pirate qui veut rentrer rentrera, donc autant le faire chier le plus possible, pour que ça lui coûte le plus cher possible, mais ça ce n’est pas le problème de l’utilisateur, lui il faut lui facilité la vie sinon il fera n’importe quoi comme noter son mot de passe sur un post-it.
PS: désolé pour le multiposte, mais si je met tout en un seul ça n’est jamais publié.