topblog Ivoire blogs

08/12/2009

Internet : les mots de passe à éviter

Microsoft a publié une liste des termes qu'il ne faut surtout pas utiliser afin d'éviter des attaques automatisées. "password" est le mot de passe le plus usité par les pirates.

Déterminer les mots de passe sur Internet les plus efficaces pour éviter toute casse. Le centre de sécurité de Microsoft, le Malware Protection Center, vient de publier une étude sur la qualité des mots de passe et identifiants (nom d'utilisateur). Pour y parvenir, ce site dédié aux virus et autres programmes malicieux a compilé les statistiques des attaques automatisées contre un serveur FTP factice, créé spécialement.

L'éditeur de logiciels s'est concentré sur les attaques automatisées "par dictionnaires". Une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé d'accès à un service, qui consiste à tester une série de mots de passe potentiels, tirés de dictionnaires et de manière automatisée, les uns à la suite des autres.

internet.jpgIl ressort de cette étude, basée sur plus de 400.000 combinaisons, que le mot de passe type comporte en moyenne 8 caractères, et qu'il excède rarement 10 caractères. Mais, si les attaques par dictionnaires se font en moyenne sur la base de 6 caractères pour les identifiants et de 8 pour les mots de passe, le login le plus long testé par un pirate comptait 15 caractères. Et le mot de passe le plus complexe comportait 29 caractères !

"password", le mot de passe le plus utilisé par les pirates

Les mots de passe et identifiants les plus souvent utilisés dans ces attaques sont bien entendus des mots très communs. Dans la plupart des cas, ce sont d'ailleurs des termes paramétrés par défaut, et qui n'ont jamais été changés par les utilisateurs. Ainsi, sans grande surprise, le premier mot de passe à éviter (ou à changer d'urgence) est "password"... Suivent "123456", "#!comment:" et "changeme". Étonnamment, "Fuckyou" devance "abc123". Suivis des prénoms anglo-saxons, tels que "peter", "andrew" ou "matthew". En outre, Microsoft déconseille "Michael" comme mot de passe, très utilisé depuis le décès du "Roi de la Pop" Michael Jackson.

Concernant les identifiants les utilisés dans les attaques automatisées, "Administrator" et "Administrateur" arrivent très largement en tête. Ces deux termes ont en effet été saisis par les scripts dans, respectivement, 136.971 et 107.670 des cas ! "Admin" arrive en troisième position. Viennent ensuite, une nouvelle fois, des prénoms usuels anglo-saxons avec, dans l'ordre, "andrew", "dave", "steve", "paul" et "adam". Seuls "tsinternetuser" et "tsinternetusers" viennent s'intercaler dans cette hiérarchie, aux septième et huitième places.

Des mots de passe d'au moins 10 caractère

Pour minimiser tout risque, l'Agence nationale de la sécurité des systèmes d'information (Ansi) conseille d'utiliser au minimum des mots de passe comportant au minimum 10 caractères, et d'être constitué de minuscules, de majuscules, de caractères spéciaux et de chiffres (au moins trois de ces quatre catégories). Il est ainsi largement préférable, selon l'Ansi, d'utiliser comme mot de passe "p@$$ew0rld" plutôt que "password", ou "@dmInIstrat0r" plutôt qu'"Administrator".

JULIEN POMPEY, Les Echos

09:08 Publié dans Science | Lien permanent | Commentaires (2) | Tags : internet, mot de passe

Commentaires

Ne pas hésiter à mettre des lettre avec accent ou un "ç".
Pourquoi?
Parce que les anglophones ne les utilisent pas!

Écrit par : woamba | 11/12/2009

Bonjour woamba


Merci pour ces conseils
excellents et très utiles

en matières de navigation
sur le Net.

J'ajouterai pour ma part,
l'efficacité des mots ou
des noms

dans chacune de nos langues
locales.

On peut toutefois renforcer
la sécurité en ajoutant à ces
mots/noms "locaux",

des chiffres, des caractères
particuliers, au début, au milieu
ou à la fin.

Il s'agit d'être le plus créatif
possible et surtout ...,

changer régulièrement de mot
de passe!


Bonne année 2010 à tous et
à toutes.

Écrit par : Ykigbo | 31/12/2009

Les commentaires sont fermés.