Voici la liste des 200 mots de passe les plus utilisés en 2020 (et c'est le désarroi)

Publié le 19 novembre 2020 à 19h00

Il y a des (mauvaises) habitudes qui ne changent pas. Selon le classement annuel des mots de passe les plus utilisés, dressé par le gestionnaire NordPass, on retrouve sans surprise les sempiternels « 123456 » et « 123456789 » en haut du classement… comme c'est le cas depuis 2013.

On retrouve des thématiques particulièrement récurrentes comme les suites de chiffres, mais aussi des marques d'appareils électroniques ou de licences de jeux.

Les mauvaises habitudes des internautes

Le gestionnaire de mots de passe NordPass vient de publier la liste des 200 mots de passe les plus courants sur Internet. Cette liste a été dressée en analysant le contenu de bases de données compromises cette année, soit environ 275 millions de mots de passe au total.

Comme chaque année depuis 2013, à quelques exceptions près, le mot de passe « 123456 » truste le haut du classement. Ce mot de passe a été ainsi retrouvé plus de 2,5 millions de fois dans les bases scannées par NordPass ! On retrouve dans le top 10 sa suite logique (« 123456789 ») mais aussi « password », « 111111 », « qwerty » ou encore « abc123 ». Nouvel arrivant dans le classement : « picture1 », qui a été repéré 371 612 fois dans le base de données analysée.

D'après NordPass, les internautes utilisent ce genre de mots de passe pour s'en souvenir facilement. Le gestionnaire dresse ainsi 12 catégories de mots de passes liés à des thématiques populaires que les internautes utilisent énormément : les nombres, les appareils électroniques (« samsung », « computer »), les suites de lettres ou encore les licences populaires de films et jeux vidéo (« pokemon », « naruto », « starwars »….).

Le groupe One Direction exclu du classement

Dans cette liste de plus de 275 millions de mots de passe, seuls 44 % étaient uniques, note NordPass. Ce « palmarès » permet également de repérer les allées et venues de certains effets de mode : ainsi, si l'année dernière le mot de passe « onedirection » se hissait à la 184^e place des identifiants les plus utilisés, il a été cette année éjecté du classement. Est-ce que le groupe a perdu en popularité, ou est-ce que ses fans ont acquis une meilleure conscience cybernétique ? C'est la question posée par NordPass. Vous avez quatre heures.

A toutes fins utiles, rappelons que pour créer un mot de passe fort, mieux vaut éviter les caractères qui se suivent sur un clavier, les mots courants et les suites de chiffres. Privilégiez des termes complexes mêlant chiffres, lettres, majuscules et minuscules. De même, changez-les régulièrement (tous les 90 jours, selon NordPass) et n'utilisez pas le même mot de passe sur tous vos comptes en ligne.

Source : NordPass

Par Benjamin Bruel

Journaliste spécialisé dans le numérique, l'espace, la technologie et l'innovation, je me passionne par tout ce qui a trait au futur et à la compréhension du monde de demain. J'exerce ce métier depuis quatre ans, souvent devant mon ordinateur et parfois en vadrouille entre deux pays d'Asie. Amateur de bande dessinées, de paranormal et de dark tourism, je voue aussi un culte aux œuvres de Philip Pullman et de Yoko Taro.

Articles de Benjamin Bruel

Cybersécurité

Logiciels & services

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

jvachez

Après maintenant il faut créer des comptes pour à peu près n’importe quoi, on comprend que les gens ne veulent pas se compliquer la vie.
Il faudrait faire l’analyse sur des sites vraiment importants, genre avec des numéros de CB stockés.

buitonio

C’est si facile de générer des mots de passe forts avec un gestionnaire de mots de passe, mais soit les gens ne savent pas que ça existe, soit ils sont trop fainéants pour en utiliser un.

MattS32

Ce qui compte, ce n’est pas vraiment la liste des mots de passe les plus utilisés, ce serait plutôt de savoir quelle est la proportion de comptes les utilisant.

Parce que forcément, ces mots de passe faciles, ils resteront toujours les plus utilisés, puisque par définition un bon mot de passes est unique, donc peu utilisé…

Mais si le top 10 des mots de passe couvre 0.1% des comptes, ce n’est pas pareil que s’il en couvre 10%…

Le mot de passe le plus utilisé était utilisé 2.5 millions de fois sur 275 millions, ça ne fait donc que 1% (et encore, y a un truc pas clair : les 275 millions, c’est le nombre de mots de passe différents sur une liste de > 275 millions de mots de passe, ou bien c’est la taille de la liste complète avec doublons ?).

Demongornot

C’est pour ça que la meilleur chose à faire de nos jours c’est d’utiliser des gestionnaire de mot de passe et de ne pas hésiter à mettre des mot de passe très complexes et long.

Pour ceux qui voudraient savoir le pourquoi du comment, voici une explication :
Lors ce que vous entrez un mot de passe que ce soit pour créer un compte ou vous connecter, le site ne va en aucun cas, sauf pour les sites trop amateurs, stocker le mot de passe « en clair », ce qui signifie sans chiffrement.

Ce qui va ce passer c’est que votre mot de passe va être transformer, une procédure qu’on appel Hashing, c’est une transformation qui ne peux absolument pas être fait en sens inverse avec quelque clef que ce soit.
D’ailleurs la majorité des sites vont mélanger votre nom d’utilisateur/adresse email et votre mot de passe ce qui rend la chose plus compliqué, et qui est, entre autre, la raison pour laquelle on ne précise pas si c’est le nom d’utilisateur/adresse email et/ou votre pseudo sont incorrect.

Le site lui contiens une liste de ces clef hashé, et si vous rentrez la bonne combinaison pseudo/mot de passe, alors ça correspond à ce qui ce trouve sur le site et vous pouvez vous connecté.

À ce moment là, vous obtenez un cookie , c’est le nom d’un fichier qui se loge dans votre navigateur et contient des informations, tel que la « session », en effet, un site n’as pas vraiment de moyen de savoir si c’est toujours vous lors ce que vous rafraîchissez/changer la page, et plutôt que de se connecter à chaque fois, un cookie sert à maintenir votre connexion active.

À partir de là, deux informations sont à prendre en compte, le niveau de sécurité du code de hashage, et la complexité de votre mot de passe, pourquoi ?
Et bien, grace au fait que seul les code hashé sont stocker sur les serveurs, la seul façon pour voler votre mot de passe depuis le site, c’est dans un premier temps de dérober cette base de données.
Et en suite, pas le choix, essayer de craquer les mot de passe avec ce qu’on appel la méthode « Bruteforce » qui comme son nom l’indique utilise la manière forte.

La façon la plus simple d’imaginer comment c’est fait, c’est la méthode originale :
On va tester absolument tout les caractères un par un jusqu’à trouver le bon.
Ça veux dire, on essaye de générer des code de 0 jusqu’à 1, de a jusqu’à z et de A jusqu’à Z, puis si rien n’est trouver, un fait rajoute un caractère, donc 0 1 2 3… 9 a b c… z A B C… Z 00 01 02… 09 0a 0b…0z 0A 0B… 0Z, puis 10 11 12…19 1A etc.
Cette méthode peux prendre énormément de temps, et c’est justement sur ça que la sécurité des mot de passe joue.
Enfin ça c’est la version simple, car il faut rajouter les symboles tel que @ ç % $ etc, et les lettre spéciales tel que À ou Ç ou encore Ê ou ê qui ne se trouvent pas sur les claviers, mais également les lettre d’autre alphabets.
Sauf que, pourquoi s’embêter à essayer pleins de combinaisons alors que justement, comme l’article le précise, beaucoup utilisent des mot de passe simple tel que password ou qwerty.

C’est justement là que les piratent ont fait preuve d’inventivité, ainsi, ils ont des catalogues, régulièrement mis à jour, contenant touts les mots de passe fréquemment utilisé, tel que password ou 12345 qui vont faire partie des tout premier à être tester, et ne pensez pas que utilisé Password ou pas$word ou password1 est une bonne idée, car justement ce genre de variations c’est également la première chose que ces méthode de bruteforce font essayer.
Une fois les mot de passe populaire et leur variations essayer, c’est la vieille méthode qui va être reprise.

Seulement le temps que ça prend devient exponentiel par caractère ajouter.
Une image posté sur le Twitter de la Gendarmerie des Vosges :

On peut y voir les différent temps que ça prend pour craquer des mot de passe selon leur complexité.

Pour aller plus loin, il y a pas très longtemps, par là j’entend quelques années, on a commencé à rendre populaire une autre forme de mot de passe à base de mots et sous forme de phrase, par exemple VacheLacArbreVoiture et est proche de la mnémotechnique, qui est difficile pour les ordinateurs à craquer et facile à retenir, car avant ça, on devait se rappeler de choses tel que !TKB10b8 pour tel site et 4$1eQ$oH pour un autre par exemple, mais c’est assez court et comme en témoigne l’image que j’ai poster, c’est pas forcément suffisant pour se protéger.
Et c’est là que les pirates ont encore fait preuve de créativité, en effet, ça parait difficile à craquer, jusqu’à ce qu’on se rendent compte que le nombre de mot est limité, certains sont beaucoup plus utilisé que d’autre, et que certaines combinaisons sont fréquentes, ainsi, un autre catalogue est née, et il n’a pas fallu longtemps pour qu’il prenne également en compte les variations, rendant un mot de passe de ce type avec 20 caractère largement plus facile à craquer que 20 caractères, même que minuscule ou majuscule.

Voila pourquoi avoir un mot de passe compliqué ET long est la méthode la plus sécurisé, enfin à la conditions que ce soit par comptes.
Car il suffit qu’il soit craquer qu’une seule fois, et c’est pas les failles qui manque entre keyloggers (logiciels espion qui enregistre les frappe clavier, surtout pour les info bancaire mais également les mot de passe) et le phishing (faux site qui ressemble au vrais pour que vous y rentrez vos identifiant, qui seront transmit au pirates).
Voila pourquoi, soit les noté sur un papier/carnet (que si on fait confiance à ses proches) ou utiliser un gestionnaire de mot de passe est la meilleur solution à moins d’avoir une mémoire parfaite.

Clubic à déjà fait un article sur le sujet :

Avant j’étais sur Dashlane mais je suis passé sur LastPass, et je confirme que le générateur de mot de passes de Dashlane est super, celui de LastPass manque cruellement de caractère spéciaux, je modifie souvent ce qu’il génère.

Bref, Pavé César.
PS : Désoler pour l’orthographe et la grammaire.

Bombing_Basta

À quoi bon générer des mots de passe forts si NordPass peut les lire sans problème…

juju251

Personnellement, j’utilise un gestionnaire de mots de passe, hors ligne (Keepass).
Au moins, pas de risque que le service de stockage des mots de passe se fasse voler les fichiers …
Bon, d’accord, il faut éviter de chopper un keylogger ou autre troyen …

Ouais, enfin, la sécurité globale de ce processus dépend quand même de la fonction de hashage (certaines, comme MD5 sont vulnérables), mais également de l’ajout ou non d’un « sel ».

https://fr.wikipedia.org/wiki/Fonction_de_hachage#Contrôle_d’accès

Il existe des techniques qui dérivent de celle-ci et qui consiste à avoir une méthode manuelle de génération de mot de passe, exemple :

Force brute.
Après, il existe plein de technique d’attaque, par dictionnaire, compromis temps-mémoire, tables arc-en ciel, etc …

Personnellement, vu que niveau mot de passe, je suis un peu parano, je gère ça avec un gestionnaire hors ligne et je gère moi-même la sauvegarde / réplication sur les plusieurs périphériques.

Demongornot

Très bonne reprise de mon commentaire

Avant de découvrir les gestionnaire de mot de passe, il y a environ 5 ans ou plus, j’avais en tête de faire mon propre logiciel hors ligne (pour usage perso) qui mélangerais un mot de passe maître, nom du site et pseudo pour générer des mot de passes, avec pour seule « contrainte » une liste de règles pour les sites n’acceptant que n nombre de caractères et étant limité avec X ou Y caractères spéciaux, l’idée c’était que même sur mon propre ordi je ne faisait pas confiance au fait de stocker les mot de passes, un fichier encrypté serrait vulnérable si on venais à décompiler mon logiciel, surtout qu’à cette époque le seul language que je connaissais assez pour faire ça aurait était VB.NET et qu’il est très facile à analyser le code des programmes en ce language, et un keylogger pourrait facilement compromettre mon mot de passe maître.
J’avais donc pour idée de le renforcer par des système visuels pour le mot de passe, un peux du type captcha, avec des folies tel qu’utiliser différemment la souris (vélocité vs position) et autre pour rendre la tache encore plus difficile.
Mais comme d’habitude j’ai procrastiner alors je ne l’ai jamais fait ! xD
Mon ordi est pleins de projects à peine commencé et jamais fini, ou de logiciels totalement inutile fini…Par ce que cerveau😂 !

Je suis d’accord et je fais moi même difficilement confiance au gestionnaires de mot de passe, mais je pense que pour la plupart des gens qui ne voudraient pas du manque de praticité d’un gestionnaire hors ligne, ça reste largement plus sécurisé que des mots de passe trop simple ou réutilisé.
Et au final j’ai passé le pas car la synchro entre appareils rend la chose pratique malgré les faiblesses que ça ouvre.
Puis c’est peut-être le dernier logiciel avec lequel les dévs ont intérêt à faire des magouilles, car si ils perdent la confiance des gens, ils pourraient ne jamais la regagner.

Tux-LSDM

J’utilise KeepassXC et le plugin KeePassXC-Browser pour Firefox et ça baigne.

cyrano66

(Bravo pour votre long commentaire précis et détaillé et j’ai appris que mon système de mot de passe est craquable en 5 ans, ce taux de faiblesse est acceptable, me Voilà rassuré )

Déjà vu la quantité de mdp de chacun, la mémoire parfaite on oublie.

C’est un maronnier ces articles qui insiste sur la faiblesse des mdp et culpabilise à mort l’internaute de base.
Le problème ne vient pas d’une « mauvaise habitude » mais juste d’une impossibilité humaine.
Plusieurs sources estiment qu’en 2020 un utilisateur moyen doit gérer 184 mots de passe. Autant dire que ça dépasse la capacité de mémorisation humaine.

Les services informatiques des boîtes se plaignent que les salariés collent des mots de passe trop simple et répétitif sans paraître comprendre qu’on a pas vraiment le choix.
Je me bagarre dans ma societé pour faire installer des gestionnaires de mot de passe sur les postes, ou du multi factoriel, ou du biométrique parce qu’il est juste aberrant d’exiger des salariés qu’ils mémorisent des mdp complexes, qui plus est doivent être changer régulièrement. Donc les stratégies de contournement sont nombreuses dans l’hypocrisie générale.

Si le mdp est le talon d’Achille de la cyber sécurité il serait temps de passer à des outils qui ne repose pas uniquement sur une incapacité humaine.

iksess

Et du coup, on n a droit qu’a six chiffres pour sécuriser nos comptes bancaires…
C’est cohérent… :-/