2020 n'est pas encore fini, mais nous connaissons déjà vos mots de passe préférés

Comme chaque année écoulée, la communauté de la sécurité de l'information a terminé son évaluation de fin d'année des pratiques en matière de mots de passe et des habitudes des utilisateurs. Malheureusement, l'aperçu pour 2020 n'est pas particulièrement encourageant.

Il existe de nombreux conseils sur Internet concernant la sécurité des mots de passe. Nos propres articles traitent très souvent du sujet. Cependant, il semble que les gens soient particulièrement têtus en ce qui concerne les mots de passe et refusent simplement d'écouter et d'apprendre.

Croyez-le ou non, "123456" est toujours le mot de passe le plus courant parmi les personnes interrogées dans le cadre de l'enquête sur la sécurité des mots de passe. Les chercheurs en sécurité publient généralement une métrique décrivant la force estimée du mot de passe - «le temps de force brute», qui fait référence à la durée nécessaire à un pirate informatique ou à un groupe d'acteurs malveillants pour déchiffrer un mot de passe particulier. Cette métrique n'est même pas applicable lorsqu'il s'agit de mots de passe tels que "123456", car le mot de passe est trop utilisé, facile à deviner et évident.

La deuxième place dans la salle des mots de passe de la honte est réservée à "123456789". Il semble que les gens pensent toujours que l'enchaînement de plusieurs nombres consécutifs les uns après les autres rend leur mot de passe plus sécurisé. Ce n'est tout simplement pas le cas et cela ne l'a jamais été.

D'autres chaînes de mots de passe classiques de longue date, telles que le mot «mot de passe», figurent toujours dans le top 10 des mots de passe les plus couramment utilisés pour l'année 2020. Le seul mot de passe de la liste des 10 premiers qui ne soit pas devinable par une force brute script en quelques secondes est "image1". Malheureusement, le temps qu'il faudrait à un ordinateur domestique ordinaire pour forcer brutalement un mot de passe comme "picture1" est de quelques heures, ce qui signifie toujours que le mot de passe est loin d'être sécurisé.

Il semble que les gens comprennent presque certains des principes des bons mots de passe mais ne les mettent jamais vraiment en œuvre, comme la tentative maladroite de mélanger les lettres et les chiffres dans la chaîne.

Quelle est la différence entre un deuxième et plusieurs siècles?

Pour donner une sorte de perspective sur la force du mot de passe, nous avons proposé un mot de passe de test qui utilise un mélange de deux mots inhabituels, résultant en une chaîne introuvable dans un dictionnaire, avec plusieurs symboles et nombres lancés dans le mélange, et nous avons couru la chaîne de 18 caractères résultante via un vérificateur de force de mot de passe. Le résultat était qu'il faudrait environ des centaines et des centaines d'années pour forcer brutalement cette chaîne, même lors de l'utilisation d'un grand réseau de calcul, la rendant effectivement incassable.

Il ne faut pas toujours une chaîne de 20 symboles pour avoir un mot de passe sûr, il suffit de mélanger des lettres, des symboles et des chiffres dans une bonne mesure et de ne jamais utiliser de mots simples que vous pouvez trouver dans le dictionnaire, comme la plupart des scripts de force brute reposent sur bases de données de dictionnaires massives pour déchiffrer les mots de passe.