Les super-héros ne font pas de super mots de passe ; Mozilla livre son top 10 des super pas sécurisés

Publié le 12 octobre 2021 à 08h55

Petite devinette : le trio de tête des trois super-héros dont les noms sont utilisés comme mots de passe et qui comptent le plus de violations depuis début 2021 se terminent tous en « man » ; et il y a un intrus parmi eux.

Depuis des années, les mots de passe les plus populaires restent les suites de chiffres (dont l’indétrônable « 123456 »). Mais certains utilisateurs optent plutôt pour leur sport favori, des marques voire des noms de super-héros. Pour ce dernier cas de figure, Mozilla, donne la liste des personnages issus des univers DC et Marvell sujets au plus de violations. La fondation s’appuie sur des données provenant de la plateforme haveipbeenpwned.com.

Troisième indice : SBS

On retrouve sur le podium une triplette de super-héros en « man ». Avec 368 397 violations depuis le début de l’année 2021, Superman est le numéro 1 incontesté. Il devance confortablement l’homme chauve-souris et l’homme araignée : 226 327 violations pour Batman, 160 030 pour Spider-Man. Avec « seulement » 53 745 violations, Wolverine échoue à la quatrième place du podium, assez loin derrière le trio de tête donc. La première femme, Wonder Woman, se situe en sixième position.

Cependant, le mutant Wolverine a de quoi de se consoler : c’est celui dont le patronyme réel (James Howlett / Logan) est le plus populaire avec 30 479 occurrences. Il met au tapis Clark Kent (Superman) et Bruce Wayne (Batman) avec leurs 4 919 et 2 267 apparitions respectivement.

Bon, vous en conviendrez, comme souvent avec ce type de classement, il n’y pas vraiment d’enseignement à en tirer ; on peut supposer que beaucoup de gens, amenés à se créer des comptes pour parfois tout et n’importe quoi et devant choisir un mot de passe, utilisent le premier qui leur vient à l’esprit, plus par formalité que par réel souci de sécurité. Tout au plus cela donne une idée du degré de popularité de tous ces super-héros.

La règle d’or d’un bon mot de passe

Quoi qu’il en soit, Mozilla, qui stipule que cette « étude révèle que les mots de passe contenant des noms de super héros sont parmi les plus souvent piratés » sans pour autant communiquer quelle part cela représente, en profite pour nous rappeler les bonnes pratiques que nous devrions tous respecter en matière de mots de passe.

Selon la fondation, il y a trois règles d’or pour s'assurer de la fiabilité d’un mot de passe : qu’il soit aléatoire (une suite de caractères qui ne fait pas forcément sens) ; qu’il mélange chiffres, lettres (en majuscules et minuscules), caractères spéciaux ; qu’il change pour chaque compte.

Avec la multiplication des comptes, le dernier point est difficile à respecter à moins d’avoir une excellente mémoire ou un calepin tout le temps avec soi. En conséquence, l’une des solutions peut consister en l’utilisation d’un gestionnaire de mots de passe.

Par Rémi Bouvet

Aucun résumé disponible

Articles de Rémi Bouvet

Cybersécurité

Logiciels & services

Actualités mots de passe / authentification

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (7)

userresu

Je pense que la règle à retenir c’est que le mot de passe est révolu.
aujourd’hui, il faut une « phrase de passe » en mélangeant caractères spéciaux, chiffres et majuscules/minuscules ; et si il est possible d’activer une double authentification, il faut l’activer sans hésiter.
Et comme rappelé dans l’article ; 1 service/outil = 1 « mot de passe » (ou phrase de passe) ; comme ça si le couple adresse mail / password a été corrompu sur un service, ça ne mets pas d’autres services en péril.

g-m1n1

Je ne peux que conseiller le combo (gratuit) Bitwarden (mots de passe) + Authy (double authentification).

Mais rares sont les amis et proches à s’y tenir (voir aucun).

J’ai également un Ledger, qui a une appli Fido U2F. Je l’ai encore jamais utilisé par contre.

Kaggan

Pour ma part, je suis sur des phrases systématiques avec deux règles communes pour y inclure caractères spéciaux et chiffres. Ca me donne des mots de passes pouvant facilement faire une vingtaine de caractères et en général plutôt sécurisé.

En m’inspirant de mon système, je vous propose deux mots de passes hypothétiques pour clubic et amazon n’utilisant pas les mêmes règles que celles que j’applique de mon côté.

C0;Clubicveutmevendre1pomme;0C
A0;MacommandeAmazonaeu1accro;0A

On peut voit dans les règles que le mot de passe est entouré par la première lettre du nom du site en majuscule puis par 0; (et son miroir). On n’a pas besoin de retenir ces points, ils sont commun. Ensuite, il y a une phrase qui marque un minimum (se moquant des gens disant que clubic est pro apple et pro tesla). Dans la phrase, quand on entend un « nombre », on l’écrit en remplacement. On ne retient donc qu’une petite phrase assez simple et contextualisé.

Par contre, c’est vrai qu’il est parfois indispensable de les noter quelque part pour en avoir trace. Sur la 50ene que j’ai, il n’y en a qu’une vingtaine que je retient systématiquement.

tfpsly

+1 sur le principe d’avoir des pass-phrases, générées par quelques règles. Et des passphrases uniques pour les site cruciaux (banque, email…).
XKCD :

cyrano66

J’ai plus simple et plus facile.
Je génère un mot de passe dépendant de l’adresse du site.
Je n’ai qu’à mémoriser la méthode et rien a noter.

Comme par exemple une suite de 14 caractères en deux parties
La partie essentielle correspond au site sur lequel je suis, textuellement pompé sur le Http avec mélange des caractères en fonction de leur position, changement de casse et rajout de caractère.
La seconde suite est toujours la même.

J’en dirais pas plus sinon casser mon code serait facile.

Mais par exemple ça pourrait donner

For$bic:007Bond pour ce forum
Cre$uel:007Bond pour le Credit Mutuel
Etc.

Urleur

Majuscules, minuscules, chiffres et symbole ou signe, le tout dans un minimum de 10, voilà un bon mot de passe de base.

supernaz

Encore plus simple, mot de passe généré aléatoirement par le navigateur + gestionnaire.
ex: sGHbU4U@8AVZCZh