topblog Ivoire blogs

08/12/2009

Internet : les mots de passe à éviter

Microsoft a publié une liste des termes qu'il ne faut surtout pas utiliser afin d'éviter des attaques automatisées. "password" est le mot de passe le plus usité par les pirates.

Déterminer les mots de passe sur Internet les plus efficaces pour éviter toute casse. Le centre de sécurité de Microsoft, le Malware Protection Center, vient de publier une étude sur la qualité des mots de passe et identifiants (nom d'utilisateur). Pour y parvenir, ce site dédié aux virus et autres programmes malicieux a compilé les statistiques des attaques automatisées contre un serveur FTP factice, créé spécialement.

L'éditeur de logiciels s'est concentré sur les attaques automatisées "par dictionnaires". Une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé d'accès à un service, qui consiste à tester une série de mots de passe potentiels, tirés de dictionnaires et de manière automatisée, les uns à la suite des autres.

internet.jpgIl ressort de cette étude, basée sur plus de 400.000 combinaisons, que le mot de passe type comporte en moyenne 8 caractères, et qu'il excède rarement 10 caractères. Mais, si les attaques par dictionnaires se font en moyenne sur la base de 6 caractères pour les identifiants et de 8 pour les mots de passe, le login le plus long testé par un pirate comptait 15 caractères. Et le mot de passe le plus complexe comportait 29 caractères !

"password", le mot de passe le plus utilisé par les pirates

Les mots de passe et identifiants les plus souvent utilisés dans ces attaques sont bien entendus des mots très communs. Dans la plupart des cas, ce sont d'ailleurs des termes paramétrés par défaut, et qui n'ont jamais été changés par les utilisateurs. Ainsi, sans grande surprise, le premier mot de passe à éviter (ou à changer d'urgence) est "password"... Suivent "123456", "#!comment:" et "changeme". Étonnamment, "Fuckyou" devance "abc123". Suivis des prénoms anglo-saxons, tels que "peter", "andrew" ou "matthew". En outre, Microsoft déconseille "Michael" comme mot de passe, très utilisé depuis le décès du "Roi de la Pop" Michael Jackson.

Concernant les identifiants les utilisés dans les attaques automatisées, "Administrator" et "Administrateur" arrivent très largement en tête. Ces deux termes ont en effet été saisis par les scripts dans, respectivement, 136.971 et 107.670 des cas ! "Admin" arrive en troisième position. Viennent ensuite, une nouvelle fois, des prénoms usuels anglo-saxons avec, dans l'ordre, "andrew", "dave", "steve", "paul" et "adam". Seuls "tsinternetuser" et "tsinternetusers" viennent s'intercaler dans cette hiérarchie, aux septième et huitième places.

Des mots de passe d'au moins 10 caractère

Pour minimiser tout risque, l'Agence nationale de la sécurité des systèmes d'information (Ansi) conseille d'utiliser au minimum des mots de passe comportant au minimum 10 caractères, et d'être constitué de minuscules, de majuscules, de caractères spéciaux et de chiffres (au moins trois de ces quatre catégories). Il est ainsi largement préférable, selon l'Ansi, d'utiliser comme mot de passe "p@$$ew0rld" plutôt que "password", ou "@dmInIstrat0r" plutôt qu'"Administrator".

JULIEN POMPEY, Les Echos

09:08 Publié dans Science | Lien permanent | Commentaires (2) | Tags : internet, mot de passe