Le mois dernier, c’étaient les mots de passe des sites LinkedIn, eHarmony et last.fm qui étaient hackés, maintenant ce sont ceux de la messagerie Yahoo!. La divulgation sur internet des mots de passe a été l’occasion pour SANS de faire une analyse du comportement des utilisateurs à propos de ses mots de passe.
Jim Clausing de l’institut SANS a pris le temps d’analyser les mots de passe Yahoo ! publiés sur internet afin de déterminer le comportement des utilisateurs face à la sécurité de leur compte.
Sur les 442 836 mots de passe divulgués, il y avait 342 508 mots de passe uniques, donc plus de 100 000 d’entre eux sont des doublons. En analysant ceux-ci, il est possible de constater que les « pires » d’entre eux sont toujours utilisés !
- 123456 = 1667 (0.38%)
- password = 780 (0.18%)
- welcome = 437 (0.1%)
- ninja = 333 (0.08%)
- abc123 = 250 (0.06%)
- 123456789 = 222 (0.05%)
- 12345678 = 208 (0.05%)
- sunshine = 205 (0.05%)
- princess = 202 (0.05%)
- qwerty = 172 (0.04%)
Pour les mots de passe contenant par exemple des lettres et des chiffres, les mots de base les plus utilisés sont :
- password = 1374 (0.31%)
- welcome = 535 (0.12%)
- qwerty = 464 (0.1%)
- monkey = 430 (0.1%)
- jesus = 429 (0.1%)
- love = 421 (0.1%)
- money = 407 (0.09%)
- freedom = 385 (0.09%)
- ninja = 380 (0.09%)
- sunshine = 367 (0.08%)
Souvent les mots de passe contiennent également une année, le classement est :
- 2008 = 1145 (0.26%)
- 2009 = 1052 (0.24%)
- 2007 = 765 (0.17%)
- 2000 = 617 (0.14%)
- 2006 = 572 (0.13%)
- 2005 = 496 (0.11%)
- 2004 = 424 (0.1%)
- 1987 = 413 (0.09%)
- 2001 = 404 (0.09%)
- 2002 = 404 (0.09%)
Il est aussi possible d’analyser ces mots de passe selon des dictionnaires d’après une méthode inspirée par l’analyse de Trustwave. Ainsi :
- Contient l’un des 100 tops prénoms masculins de 2011 = 18504 (4,18 %)
- Contient l’un des 100 tops prénoms féminins de 2011 = 10899 (2,46 %)
- Contient l’un des 100 tops noms de chien de 2011 = 17941 (4,05 %)
- Contient l’un des 25 « pire » mot de passe de 2011 = 11124 (2,51 %)
- Contient le nom d’une équipe NFL = 1066 (0,24 %)
- Contient le nom d’une équipe NHL = 863 (0,19 %)
L’étape suivant consiste à étudier la longueur du mot de passe qui varie de 1 caractère (117 utilisateurs) et 30 (2 utilisateurs).
- 8 = 119135 (26.9%)
- 6 = 79629 (17.98%)
- 9 = 65964 (14.9%)
- 7 = 65611 (14.82%)
- 10 = 54760 (12.37%)
- 12 = 21730 (4.91%)
- 11 = 21220 (4.79%)
- 5 = 5325 (1.2%)
- 4 = 2749 (0.62%)
- 13 = 2658 (0.6%)
Pour finir, les spécialistes de la sécurité prônent les vertus d’un mot de passe « complexe » alliant l’usage de l’alphabète, d’un chiffre et de caractère spéciaux.
- Majuscule en premier et symbole en dernier = 1259 (0,28 %)
- Majuscule en premier et chiffre en dernier = 17467 (3,94 %)
- Tout en minuscules = 146516 (33.09 %)
- Tout en majuscules alpha = 1778 (0,4 %)
- Uniquement l’alphabète = 148294 (33.49 %)
- Uniquement des chiffres = 26081 (5,89 %)
Conclusion
L’analyse de ces mots de passe montre clairement que l’éducation des utilisateurs est encore à faire et que le conseil de mélanger des minuscules, majuscules, chiffres et caractères spéciaux n’est pas encore entré dans les mœurs des utilisateurs lambda !
Si cet article a captivé votre intérêt, vous trouverez certainement les prochains tout aussi passionnants. Assurez-vous de ne rien manquer en vous abonnant à linformatique.org sur Google News. Suivez-nous aussi sur Facebook et Twitter.