On en parle beaucoup lorsqu’on traite de sécurité sur Internet : les mots de passe sont des données non seulement sensibles en tant que telles, mais surtout à créer et utiliser avec grande précaution.

C’est pourquoi je souhaite vous montrer dans l’article suivant pourquoi Gbt3fC79ZmMEFUFJ est en fait un mauvais mot de passe !

Vous pouvez visionner cet article au format vidéo (ou continuer à lire ci-dessous la version texte) :

Rappels de bonnes pratiques de mot de passe

Par défaut, on nous recommande de choisir un mot de passe avec au moins :

  • 1 ou plusieurs caractères en minuscules
  • 1 ou plusieurs caractères en majuscules
  • 1 ou plusieurs chiffres
  • 1 ou plusieurs caractères en spéciaux
  • le tout ayant une longueur « suffisante », par exemple 8 caractères

En tant que telles, ces recommandations sont justes. Mais il manque un détail qui a son importance : il faut que lesdits caractères soient les plus aléatoires possible !

Prenons les trois exemples suivants :

  • Michel2*
  • 1990Afz+
  • zF45*fV0

Tous respectent à la lettre les recommandations.

MAIS, deux d’entre-eux sont beaucoup plus évidents à trouver. Et cela notamment si le pirate connaît sa « victime » (pour rappel, la première chose qu’un pirate cherchera à faire est justement de récupérer des informations sur sa cible…).

Et bien que les exemples ci-dessus paraissent un peu naïfs, les nom de marques, les loisirs, les noms de personnes connues ou tout autre élément qui peut être trouvé dans vos propres mots de passes les met potentiellement à mal.

En l’occurrence, vous pouvez voir dans la capture d’écran ci-dessous, que les deux premiers mots de passe de notre liste ont été trouvés en moins d’une seconde à l’aide d’un outil de cracking de mots de passe :

mauvais mots de passe

Il aurait suffit pour un pirate de créer une mini liste de mots clés liés sur sa cible pour automatiser et surtout accélérer le processus de cracking :

Ces mots-clés ciblés sont « simplement » utilisés avec des règles précises leur ajoutant (par exemple) un par un des chiffres/lettres/caractères spéciaux aléatoires.

Par exemple, l’outil essaierait :

  • Michel0
  • Michel1
  • Michel2
  • Michel0*
  • Michel1*
  • etc

Donc, entre un outil qui essaierait mécaniquement et de façon incrémentale toutes les combinaisons possibles et un outil intelligent qui utilise une liste de mots clés et des règles bien précises, basées sur les « recommandations officielles », on passe de 10 ans de cracking à 1 seconde…

Mais alors pourquoi Gbt3fC79ZmMEFUFJ est un mauvais mot de passe ?

Avec ce que l’on vient de voir, on pourrait se demander pourquoi Gbt3fC79ZmMEFUFJ serait un mauvais mot de passe n’est-ce pas ?

Eh bien, le simple problème ici, c’est que le mot de passe est… PUBLIC !

Et tous les mots de passe publiés sur Internet ne sont plus sécurisé par définition !

Pour l’anecdote, c’est un code source public qui contenait ce mot de passe pour une démonstration et qui l’a rendu populaire « malgré lui » et malgré sa sécurité renforcée à la base.

Source : stackexchange.com

 

Cela en vaut de même pour tous les autres mots de passe cités dans cet article…

Autres informations sur la (bonne) gestion des mots de passe

4 Commentaires. En écrire un nouveau

  • informatique Rouen
    14 août 2019 9 h 30 min

    Merci pour cet article bien écrit et complet

    Répondre
  • Très clair comme d’habitude, pertinent et très utile.

    Répondre
  • Super article qui nous explique très bien comment sécurisé en clair un bon mot de passe. Surtout la fin qui est marrante car on se demande tous pourquoi ce mot de passe n’est pas sécurisé et en faite c’est juste parce qu’il est public 🙂

    Juste un petit détail à signaler : Est-ce normal que le site  »Le Blog du Hacker » est en maintenance sur téléphone, alors qu’il est accessible depuis un ordinateur ?

    Répondre
  • C’est surtout un mauvais mot de passe parce qu’il n’est pas mémorisable facilement.
    Quand on pense qu’il doit falloir au minimum retenir plus d’une dizaine de mot de passe ce genre là oblige le commun des mortels à l’écrire.
    Et c’est donc « raté ».

    Répondre

Laisser un commentaire

Menu
More in Sécurité Informatique
Peut-on cacher un VIRUS dans une image ou vidéo ?

Peut-on cacher un virus dans une image ? C'est une question qui mérite une attention particulière et que l'on m'a posée sur Quora. Psst, vous...

Close