En Décembre 2009, une faille majeur de mots de passe est apparue, ce qui a conduit au piratage de 32 millions de mots de passe (1). En outre, le hacker a envoyé sur Internet (2) la liste complète des 32 millions de mots de passe (sans autre renseignements d'identification). Les mots de passe ont été stockés en clair dans la base et ont été extraits par le biais d'une vulnérabilité d'injection SQL (3). Les données fournissent un aperçu unique de la façon dont les utilisateurs sélectionnent les mots de passe et une occasion d'évaluer la résistance réelle de ceux-ci comme mécanisme de sécurité. Dans le passé, des études de mot de passe ont porté essentiellement sur des enquêtes (4). Jamais il n'y a eu un tel volume de mots de passe du "monde réel" à analyser.
Le Application Defense Center (ADC) d'Imperva a analysé la résistance des mots de passe.
La brièveté et la simplicité des mots de passe implique que de nombreux utilisateurs sont à la merci d'une attaque par force brute de leur mot de passe. En outre, des études montrent (5, 6,7) qu'environ la moitié des personnes interrogées utilisent le même (ou très proche) mot de passe pour tous les sites web qui nécessitent une identification. Ironiquement, le problème a très peu changé au cours des vingt dernières années. En 1990, une étude des mots de passe de sécurité sous Unix a révélé que la sélection des mots de passe est étonnamment similaire aux 32 millions de mots de passe piratés (8). Il y a tout juste dix ans, les mots de passe Hotmail piratés ont montrés quelques changements (9). Cela signifie que les utilisateurs, s'ils ont le choix, choisissent des mots de passe très faible, même pour les sites qui détiennent leurs données les plus privées. Pire, comme les pirates continuent à adopter rapidement des attaques par force brute plus intelligentes, des logiciels de craquage, les consommateurs et les entreprises s'exposent encore plus aux risques. Pour quantifier le problème, la combinaison de faibles mots de passe et des attaques automatisées signifie que dans seulement 110 tentatives, un pirate va généralement accéder à un nouveau compte chaque seconde ou seulement 17 minutes pour accéder à 1000 comptes.
Principales conclusions:
- Environ 30% des utilisateurs ont choisi des mots de passe dont la longueur est égale ou inférieure à six caractères.
- En outre, près de 60% des utilisateurs ont choisi leurs mots de passe à partir d'un ensemble limité de caractères alpha-numériques.
- Près de 50% des utilisateurs d'utiliser des noms, des mots d'argot, dictionnaire des mots ou des mots de passe triviaux (chiffres consécutifs, touches du clavier à côté, et ainsi de suite).
Le Top 20 des mots de passe :
- 123456 (environ 1%)
- 12345
- 123456789
- Password
- iloveyou
- princess
- rockyou
- 1234567
- 12345678
- abc123
- Nicole
- Daniel
- babygirl
- monkey
- Jessica
- Lovely
- michael
- Ashley
- 654321
- Qwerty
Lire le rapport (pdf en anglais)
Source : Imperva
Voir également la fiche pratique d'inforisque.fr : "Vérification de la complexité d'un mot de passe"
Continuer avec Linkedin
MM'S le :
Quelle bande de filous, ces hackers...
Certains sites disposent d'un testeur de niveau de fiabilité à fur et à mesure que l'on tape son mot de passe; Son évaluation allant de niveau "faible" à "élevé"...
Cà a l'air plutôt ingénieux... Qu'en pensent les spécialistes du sujet ?