Elle-même, la combinaison “123456”. C’est du moins ce que souligne un rapport de Keeper Security(PDF). Ce n’est pas nouveau, car chaque année, des études indiquent que ce mot de passe est le plus courant. Ce qui surprend dans l’enquête de Keeper, c’est la proportion d’utilisateurs qui l’utilisent : 17%. Pas étonnant qu’elle soit la championne.
Cependant, ces données ne sont probablement pas exactes. Pour générer la liste des 25 pires mots de passe pour 2016, Keeper a analysé 10 millions de mots de passe provenant de bases de données ayant fait l’objet de fuites au cours de l’année. Comme on ne sait pas exactement comment ces données ont été obtenues, d’où elles viennent et quels sont les critères d’analyse, il est difficile de donner des estimations réalistes.
Malgré cela, les résultats ne doivent pas être négligés. 10 millions de mots de passe n’est pas un chiffre négligeable. En outre, les audits réalisés par plusieurs sociétés de sécurité soulignent que de nombreux cas d’invasions sont encore possibles en raison de l’utilisation de mots de passe faibles, parmi lesquels “123456”. La liste complète des détenteurs se présente comme suit, dans l’ordre des combinaisons les plus courantes :
123456
123456789
qwerty
12345678
111111
1234567890
1234567
123123
987654321
qwertyuiop
mynoob
123321
666666
18atcskd2w
7777777
1q2w3e4r
654321
555555
3rjs1la7qe
1q2w3e4r5t
123qwe
zxcvbnm
1q2w3e
La plupart d’entre eux sont bien gérés. Mais il y en a certains qui semblent sûrs. Ils le font tout simplement. C’est le cas de ?zxcvbnm ?, qui correspond simplement aux premières touches de la dernière ligne de lettres du clavier, ou de ?1q2w3e4r5t ?, une bascule entre les touches numériques et la première ligne de lettres du clavier.
Mais il y a ici des combinaisons aléatoires qui, à première vue, répondent aux critères de sécurité. C’est le cas de ?18atcskd2w ? Ce mot de passe a été identifié avant et figure à la 15e place du classement du Keeper. Cela signifie qu’il est bien utilisé. Comment cela est-il possible ?
Les experts en sécurité numérique, dont ceux de Keeper, affirment que des combinaisons comme ?18atcskd2w ? et ?3rjs1la7qe ? ont été créées par des algorithmes et sont utilisées au maximum par des robots qui créent de faux comptes pour, par exemple, diffuser du spam.
Cela indique deux problèmes. La première est que de nombreuses entreprises n’appliquent toujours pas les critères qui empêchent les utilisateurs de créer des mots de passe faibles. Il existe des services qui avertissent même qu’une combinaison n’est pas sûre, mais qui n’empêchent pas son utilisation.
Comme la création et, surtout, la mémorisation des mots de passe est une activité ennuyeuse pour la grande majorité des gens, l’utilisation de critères plus stricts tend à avoir plus d’effet que les tentatives d'”éducation” des utilisateurs.
L’autre problème, plus difficile à résoudre, est que de nombreux services ne parviennent pas à empêcher la création de faux comptes par des robots. Cependant, l’identification des combinaisons couramment utilisées peut aider à lutter contre ce type d’activité.
Avec l’utilisation croissante de la biométrie et des systèmes de sécurité basés sur la intelligence artificielle, peut-être qu’un jour les mots de passe ne seront plus la principale barrière de sécurité pour la plupart des services.
Si ce n’est pas le cas, la solution consiste à utiliser réellement des combinaisons fortes et, si possible, à recourir à l’authentification en deux étapes. Pour ceux qui ne veulent pas mémoriser un grand nombre de combinaisons ou qui n’ont pas la patience de les créer, la meilleure alternative est peut-être d’utiliser un gestionnaire de mots de passe.
On ne peut pas hésiter sur le sujet. Malheureusement, les mots de passe sont un mal nécessaire et cela ne devrait pas changer de sitôt.