Un article de DataNews intéressant pour tous (21 janvier 2010 -- Guy Kindermans) .

Votre mot de passe est-il '123456'?

Une analyse de 32 millions de mots de passe utilisés nous apprend que '123456' est le plus populaire d'entre eux. Il y a donc moyen de faire beaucoup mieux en matière de sécurité.

Fin 2009, la base de données des utilisateurs de RockYou, producteur de 'widgets' pour sites web personnels et environnements réseautiques sociaux, a été piratée. Les mots de passe et adresses e-mail de pas moins de 32 millions d'utilisateurs ont alors été publiés sur l'internet et ont été examinés entre autres par des experts du spécialiste de la sécurité, Imperva.

Il en est ressorti que ce sont encore et toujours les mots de passe les plus banaux qui sont utilisés. Ceux-ci n'offrent quasiment aucune sécurité. C'est ainsi que quasiment 1 pour cent des utilisateurs continuent d'employer le mot de passe '123456'. Au deuxième rang, on trouve... '12345', le plus populaire des mots de passe, il y a vingt ans déjà. Le top 5 est complété par des joyaux tels '123456789', 'motdepasse' et 'iloveyou'. Ce qui est inquiétant, c'est que 20 pour cent des 32 millions d'utilisateurs mis sur internet utilisaient un mot de passe tiré de la liste des 5.000 mots les plus fréquents (et connus aussi par les pirates). Bref, il est hallucinant d'observer combien les utilisateurs IT facilitent encore énormément la tâche des hackers, malgré toutes les mises en garde lancées ces dernières années.

Conseils pour l'utilisation du meilleur mot de passe

- Optez pour un mot de passe de 8 caractères minimum.
- Mêlez-y des lettres, des chiffres et d'autres caractères. Si le système des mots de passe établit une distinction entre les majuscules et les minuscules, faites-en usage. Une source d'inspiration possible peut être les formules (chimiques ou mathématiques), à adapter comme bon vous semble (de cette manière, vous pouvez créer de puissants mots de passe de 10 caractères et plus).
- N'utilisez pas des mots, tels ceux figurant dans des dictionnaires. Les pirates exploitent les listes électroniques de mots et de noms pour agresser les systèmes de mots de passe.
- N'utilisez pas des mots ou des informations que les pirates peuvent découvrir sur votre site web, votre blog, vos pages personnelles sur tout site de socialisation. C'est particulièrement important pour des questions du genre 'vous avez oublié votre mot de passe?'.

Privé:

- Choisissez un puissant mot de passe pour les applications vraiment importantes (comme le télébanking) et éventuellement un mot de passe 'standard' pour les sites moins importants. Voilà qui pourrait expliquer le pourcentage élevé du mot de passe '123456' sur RockYou, utilisé par des personnes ne considérant pas ce site comme important. Le problème, c'était que RockYou ne cryptait pas sa base de données d'utilisateurs, ce qui a permis de libérer d'autres informations.

Entreprise:

- Pour les applications importantes, utilisez non seulement un mot de passe, mais aussi un second moyen d'authentification (smartcard, token,...).
- Envisagez l'utilisation d'une application 'single sign on' en combinaison avec un 'coffre-fort' de mots de passe.
- Obligez les utilisateurs à changer régulièrement de mot de passe.

Imperva a regroupé un certain nombre de conclusions et recommandations dans un mini-rapport au titre très clair: 'Consumer Password Worst Practices'.