Avec tout ce que vous entendez probablement sur la sécurité des mots de passe, il est facile de noyer les conseils et de continuer avec vos anciennes habitudes. Mais les mots de passe faibles sont un problème si courant et vous exposent à tant de vulnérabilités qu’il est essentiel de les prendre au sérieux.
Protéger vos comptes avec des mots de passe faibles revient à laisser toutes vos portes déverrouillées. Ce n’est pas parce que vous n’avez jamais été victime d’un vol qu’il est prudent d’abandonner la protection offerte par les serrures.
Examinons quelques-unes des erreurs de mot de passe les plus courantes que vous devez éviter pour assurer votre sécurité en ligne.
Les mots de passe les plus courants au monde
Chaque année, les sociétés de sécurité publient des données sur les mots de passe les plus courants. Ils obtiennent ces informations à partir de violations de données, ce qui leur permet de voir ce qui serait autrement des informations privées.
Le classement exact des mots de passe change chaque année, mais dans les listes des mots de passe les plus courants (comme celui de Wikipédia), ce sont toujours les plus populaires :
- 123456
- 123456789
- Image 1
- le mot de passe
- Métablog
- 123123
- qwerty
- abc123
- Je vous aime
- administrateur
De toute évidence, ces mots de passe sont tous atroces. Les utiliser revient à ne pas avoir de mot de passe du tout. Quiconque essaie de s’introduire dans un compte va essayer des mots de passe simples comme celui-ci tout de suite – puisqu’ils sont les plus courants, cela a du sens.
Cependant, si vous pensez que vous êtes en sécurité simplement parce que votre mot de passe ne figure pas sur cette liste, ne soyez pas trop à l’aise. Ces mots de passe sont mauvais car ils illustrent les caractéristiques des mots de passe facilement piratés, et il est possible que votre propre mot de passe le fasse aussi.
Vous trouverez ci-dessous des explications spécifiques sur les tendances des mots de passe faibles et sur les raisons pour lesquelles elles posent un tel problème.
1. Le mot de passe évident
La plupart des mots de passe les plus courants sont toutes des variantes de nombres consécutifs. Des mots de passe comme 123456 et même plus longtemps 1234567890 n’offre aucune sécurité. Nous pouvons supposer que les gens utilisent des mots de passe comme celui-ci car ils sont très faciles à saisir. Tout ce qu’il faut, c’est passer vos doigts de gauche à droite sur la rangée de chiffres.
Cela s’applique également aux mots de passe tels que qwerty et qwertyuiop. Ce ne sont pas des chaînes de caractères aléatoires, mais une rangée de touches sur le clavier que tout le monde connaît.
N’oubliez pas que même si un mot de passe peut être mémorable pour vous, les mots de passe ne doivent pas être faciles. Beaucoup de gens l’oublient et ne pensent pas au fait que l’utilisation d’un mot de passe évident que vous avez trouvé en cinq secondes ne protégera pas votre compte.
Les mots de passe courants comme ceux-ci ne nécessitent même pas qu’un pirate informatique potentiel exécute un logiciel de piratage ou vole votre mot de passe d’une brèche. Si quelqu’un pouvait essayer manuellement les 50 meilleurs mots de passe et pénétrer dans votre compte, vous avez un mot de passe faible.
2. Le mot de passe par défaut
C’est stupéfiant ça le mot de passe est aussi largement utilisé qu’il est. De nombreux appareils, tels que les routeurs sans fil, l’utilisent comme mot de passe par défaut. Cependant, la plupart de ces appareils incluent également des avertissements indiquant que vous devez modifier le mot de passe par défaut pour quelque chose de plus sécurisé une fois que vous êtes connecté.
Sans surprise, beaucoup de gens sont paresseux et refusent ou oublient de changer les mots de passe par défaut. Il suffit de peu d’efforts pour pénétrer dans le réseau Wi-Fi de quelqu’un s’il utilise le mot de passe par défaut. Il existe des sites Web entiers consacrés au catalogage des mots de passe par défaut pour différents modèles de routeurs, qui sont librement accessibles à tous.
Ainsi, chaque fois que vous obtenez un nouvel appareil ou un nouveau compte et que vous recevez un nom d’utilisateur et un mot de passe par défaut (tels que mot de passe d’administrateur), rendez-vous service et changez-le immédiatement. Les mots de passe par défaut sont comme un verrou rouillé que quelqu’un peut simplement retirer de votre portail.
3. Le mot de passe court
L’un des aspects les plus importants d’un mot de passe fort est sa longueur. Chaque caractère supplémentaire, qu’il s’agisse d’une lettre, d’un chiffre ou d’un symbole, élargit l’espace de possibilité et rend votre mot de passe exponentiellement plus difficile à déchiffrer.
Pensez-y comme ceci : si quelqu’un avait un mot de passe à un caractère et que vous aviez des tentatives illimitées pour le déchiffrer, cela ne vous prendrait probablement que quelques minutes pour essayer toutes les options de votre clavier. Augmentez cela à un mot de passe à deux caractères, et vous devez maintenant vous occuper de comprendre les deux caractères. Et comme il existe des milliers de combinaisons, il vous faudrait beaucoup plus de temps pour déchiffrer le mot de passe à la main.
Cela s’adapte au craquage de mot de passe avancé. Quelqu’un qui a un logiciel pour forcer brutalement un mot de passe (en essayant toutes les combinaisons possibles) serait capable de casser assez rapidement un mot de passe court de six ou huit caractères. Cependant, pour un mot de passe de 16 caractères ou plus, il faudrait beaucoup plus de temps pour parcourir toutes les combinaisons possibles.
Dans la mesure du possible, faites en sorte que vos mots de passe soient longs. Visez un minimum de 12 caractères, en utilisant plus si possible. Cela dissuadera les attaques par force brute.
4. Le mot de passe sans chiffres ni symboles
La longueur du mot de passe n’est pas le seul facteur important dans sa force. L’ajout de lettres majuscules et minuscules, ainsi que de chiffres et de symboles, vous permet de maximiser le nombre de choix possibles pour chaque caractère de votre mot de passe.
Si vous n’utilisez que des lettres minuscules, vous avez 26 choix possibles par caractère. Avec un mot de passe à huit caractères, cela représente 26 ^ 8 (environ 208,8 milliards) de combinaisons possibles.
Cependant, si vous utilisez des lettres majuscules, des lettres minuscules et des chiffres, il y a maintenant 62 choix possibles par caractère. Avec le même mot de passe à huit caractères, ces 62 caractères offrent 62 ^ 8 (environ 218,3 billions) de possibilités.
C’est une différence colossale, et cela ne tient même pas compte des dizaines de symboles disponibles !
Aucun des mots de passe les plus courants ne contient de symboles, ce qui n’est pas une coïncidence. Utilisez un mélange sain de types de caractères et votre mot de passe sera très difficile à déchiffrer avec la seule force brute. Si vous avez besoin d’aide, utilisez un outil comme le vérificateur de force de mot de passe de Security.org pour voir combien de temps il faudrait à un ordinateur pour déchiffrer votre mot de passe.
5. Le mot de passe “L33T SP34K”
Lorsque vous ajoutez des chiffres et des symboles à votre mot de passe, vous devez connaître une mise en garde. Si votre mot de passe contient des mots complets, ne faites jamais de simples substitutions lettre-chiffre ou lettre-symbole pour des caractères individuels.
Par exemple, si votre mot de passe est câbleCÂBLEne remplacez pas le une avec @la je avec 1la UNE avec 4et le E avec 3. Vous pourriez penser que le mot de passe obtenu ([email protected]) est beaucoup plus solide que l’original, mais il y a de fortes chances que ce ne soit pas le cas.
Les gens qui travaillent pour casser les mots de passe savent que les gens aiment faire ça, donc si quelqu’un essaie de s’introduire dans vos comptes, ils vont de toute façon essayer toutes ces substitutions. Cela renforce l’idée que vous devriez vous efforcer de rendre la topologie de votre mot de passe — c’est-à-dire le modèle utilisé par votre mot de passe — aussi aléatoire que possible.
Par exemple, une topologie de mot de passe courante pour un mot de passe à huit caractères serait une lettre majuscule, suivie de cinq lettres minuscules et enfin de deux chiffres. Le mot de passe Daniel87 relève de cette topologie commune. Bien qu’il ne soit toujours pas particulièrement fort puisqu’il utilise un nom, le changer en dan8iEl7 serait mieux, car ce n’est pas une topologie prévisible.
6. Le mot de passe “Informations personnelles”
Jusqu’à présent, nous nous sommes principalement concentrés sur la façon de protéger votre mot de passe contre les personnes qui le piratent. Cependant, une autre façon courante de compromettre les mots de passe est que quelqu’un les devine.
Ainsi, chaque fois que vous créez un nouveau mot de passe, n’incluez jamais de données personnelles. Un bon mot de passe ne devrait avoir aucun rapport avec vous. De nombreuses personnes utilisent un mot de passe contenant des informations de base à leur sujet, telles que leur année de naissance, le nom de leur animal de compagnie ou quelque chose qu’ils aiment.
Cela rend la devinette de votre mot de passe beaucoup plus facile pour les personnes qui vous connaissent (ou vous trouvent sur les réseaux sociaux). Pensez à la quantité d’informations que vous avez partagées sur vous-même en ligne, et vous voudrez certainement reconsidérer l’utilisation de ces détails répandus comme protection de vos comptes en ligne.
7. Le mot de passe du modèle
Bien qu’ils puissent sembler complexes à première vue, les mots de passe qui utilisent un modèle de touches sur le clavier ne sont pas vraiment solides du tout. Vous ne devriez jamais recourir à un modèle trop simpliste, comme 1qaz2wsx, 123qweasd, ou similaire. Il n’y a pas de hasard dans ces mots de passe, ce qui en fait un autre choix facile lorsque quelqu’un essaie de deviner le vôtre.
Cependant, vous pouvez toujours utiliser des modèles à votre avantage. Avec la mémoire musculaire, il est possible au fil du temps de mémoriser des mots de passe longs et difficiles à manier qui seraient autrement absurdes. Assurez-vous simplement qu’ils sont totalement inventés et qu’ils n’ont pas de motif évident sur le clavier.
Ce conseil est plus important dans les situations qui nécessitent un code PIN composé uniquement de chiffres. Que vous protégiez l’écran de verrouillage de votre smartphone ou que vous définissiez la protection d’un guichet automatique, n’utilisez pas de schémas de base tels que 1379 (les quatre coins) ou 2580 (juste en bas de la rangée du milieu).
Un code PIN à quatre chiffres n’a que 10 000 combinaisons possibles, vous devez donc opter pour un numéro plus long si possible. Mais dans tous les cas, n’utilisez pas de modèle clairement identifiable pour tout type de combinaison sécurisée.
Utilisez un gestionnaire de mots de passe pour de meilleurs résultats
Il est difficile de suivre toutes ces règles pour chaque compte que vous devez protéger en ligne. Cela est particulièrement vrai lorsqu’un autre problème de mot de passe courant consiste à utiliser le même mot de passe sur plusieurs comptes. Si quelqu’un trouve votre mot de passe sur un site, il va l’essayer partout ailleurs avec votre adresse e-mail.
La meilleure solution est de commencer à utiliser un gestionnaire de mots de passe. Ces applications vous permettent de générer des mots de passe complètement aléatoires qui sont aussi longs que vous le souhaitez et de les verrouiller dans un coffre-fort qui s’ouvre avec votre seul mot de passe principal. Assurez-vous que ce mot de passe principal est fort, et c’est le seul dont vous devez vous souvenir.
Cela vous évite de vous soucier de trouver vous-même des mots de passe forts mais mémorables.
Les mots de passe sont vitaux pour votre sécurité en ligne
En examinant les problèmes les plus courants liés aux mots de passe faibles, vous pouvez améliorer votre propre hygiène des mots de passe. Évitez de commettre les erreurs qui conduisent à la compromission des mots de passe des personnes afin de vous protéger du même sort.
Et bien que la sécurité des mots de passe soit importante, même le mot de passe le plus fort ne protégera pas votre compte s’il est exposé à une violation. C’est pourquoi nous vous recommandons d’utiliser l’authentification à deux facteurs partout où elle est disponible pour une autre couche de défense.