Quel est le point commun entre 123456, porsche, qwerty, cameron, superman, asshole, tomcat ou encore ferrari ? Ces termes font partie de la liste des plus mauvais mots de passe de tous les temps. Ne vous moquez pas, le vôtre y figure certainement. Reste à savoir maintenant comment cette liste a été établie, puisque par
Quel est le point commun entre 123456, porsche, qwerty, cameron, superman, asshole, tomcat ou encore ferrari ?
Ces termes font partie de la liste des plus mauvais mots de passe de tous les temps. Ne vous moquez pas, le vôtre y figure certainement.
Reste à savoir maintenant comment cette liste a été établie, puisque par définition un mot de passe est secret, personnel, et normalement crypté au moment de sa transmission et de son stockage dans une base de données.
Normalement crypté ? J’ai dit une bêtise ?
(source)
Derniers articles parEric (voir tous)
- Le drone, nouvel ami du journaliste ? - 19 juin 2013
- Salon du Bourget : Parrot annonce de nombreuses nouveautés autour de l’AR.Drone et des drones civils professionnels - 18 juin 2013
- Les dernières offres d’emploi du web - 17 juin 2013
- Vous voulez Pink Floyd sur Spotifiy ? Il va falloir cliquer, cliquer, cliquer… - 17 juin 2013
- Get lucky, 1920 – 2020 - 11 juin 2013
Camille Bouiller 
Rénald Boulestin
Nicolas Lecointre
Thomas Estimbre 
Kévin Verger 
Valentin Pringuay 
Louis Carle
51 commentaires pour "Les 500 plus mauvais mots de passe de tous les temps"
1
Steph le 5 janvier 2009 à 14:00
Normalement crypté en base de données, mais simple à décrypter pour le développeur qui a mis en place le cryptage, voir même pour d’autres !
2
Wally le 5 janvier 2009 à 14:05
j’aimerais bien voir la même liste mais avec les mots de passe des français
3
viki53 le 5 janvier 2009 à 14:13
Merde j’en ai un qui y est. :s
Heureusement c’est que sur des sites où je vais jamais qu’il doit être resté.
Sinon les autres sont quasi introuvables. =D
4
Wally le 5 janvier 2009 à 14:15
Les gens ont beaucoup de Mdp porno je trouve …
5
sophie le 5 janvier 2009 à 14:20
c’est quasi pareil les mots de passe en français, azerty pour querty, sinon le reste presque identique + noms de footballeurs pour beaucoup d’hommes…je me demande tous les jours pourquoi les gens choisissent des mots de passe si simples (dans le sens qu’ils veulent dire quelque chose, que ce sont des mots) mais quand je vois des trucs comme dwpx518_qk&OO je me demande aussi ce qui leur passe par la tête
6
Nicolas TAFFOREAU le 5 janvier 2009 à 14:25
ça me fait penser aux dictionnaires que l’on utilisait avec les sniffers (quoi ? c’est interdit de sniffer…).
Pour un bon mot de passe: caractères Maj et Min, lettres, chiffres et caractères spéciaux le tout faisant au moins 6 caractères.
Et de grâce, ne notez pas ce dernier sous le clavier…
Nicolas.
7
Olivier le 5 janvier 2009 à 14:28
Ou qu’il est « toto ». C’est quoi ca un top 500 sans « toto ».
8
Pingoo le 5 janvier 2009 à 14:29
Incroyable, y’a pas « toto ».
Je suis sauvé.
9
FormidableInc le 5 janvier 2009 à 14:29
@wally: ben oui quand même… genre c’est juste la première préoccupation des gens normaux, et le premier générateur de trafic sur le net
10
Adrien le 5 janvier 2009 à 14:33
Un peu plus personnel mais qui pourrait entrer dans ce classement : la date de naissance. Un poil plus sécurisé que ceux cités dans l’article mais quand même…
11
Nicolas TAFFOREAU le 5 janvier 2009 à 14:38
@Adrien Je ne suis pas tout à fait d’accord (au moins pour l’entreprise), rien n’est plus « bateau » que sa date de naissance comme mot de passe (qui est très facile à trouver en entreprise).
Au fait, tu es né quand ?
12
flipper le 5 janvier 2009 à 14:40
@Sophie. Comment tu connais mon mot de passe?
13
Fabrice le 5 janvier 2009 à 14:43
Etonnant, personne n’utilise « Windows »
14
jane ifer le 5 janvier 2009 à 14:49
moi
j’utilise
le nom de mes animaux de compagnie ou compagnes mais
comme je suis de mauvaise compagnie celà change souvent selon où se trouve mes yeux!
c’est vrai qu’il y a beaucoup de mots de passe « porn »
en french « faischier » « putain » « chatte »"ohouiencore » version djeunes oHouienkor….
15
Footix le 5 janvier 2009 à 14:50
De toutes façon tous les mdp sont trouvables, le mieux c’est peut être dans mettre un tellement logique que personne n’ira le chercher. Comme « clavier »
16
kanjiroushi le 5 janvier 2009 à 14:55
Souvent le mot de passe est encrypte en utilisant md5 comme ca meme le developpeur ne peut pas savoir ce qui est dans la base. Le probeleme est qu on peut s amuser a faire une base de donnees qui associe le hash au mot (par exemple http://tools.benramsey.com/md5/) et ainsi pour les mots de passe de base, on retrouve facilement le mot de passe tape.
17
tservolle le 5 janvier 2009 à 14:59
Je me pose la question de l’interet d’avoir un mot de passe introuvable alors que la plupart du temps ledit mot de passe ne servira a rien d’autre qu’a s’authentifier sur des sites aussi vitaux qu’une messagerie electronique grâce a laquelle on discute avec les copains, ou des réseaux sociaux aussi vitaux que facebook ou twitter. Qu’un mot de passe de réseau professionnel soit sécurisé, soit, mais la multitude des sites demandant un mot de passe n’oblige t il pas à utiliser des mots de passe simples et ayant un fort pouvoir mnémotechnique ?
le fait d’utiliser qwerty ou mypassword ne me parait pas si idiot que cela
18
Adrien le 5 janvier 2009 à 14:59
@Nicolas TAFFOREAU : J’ai surement du mal m’exprimer. Je suis d’accord avec toi, la date de naissance n’est pas un mot de passe, c’est ce que je voulais dire
19
Adrien le 5 janvier 2009 à 15:01
@Nicolas TAFFOREAU : J’ai surement du mal m’exprimer. Je suis d’accord avec toi, la date de naissance n’est pas un mot de passe sécurisé, c’est ce que je voulais dire
(Mes excuses pour le doublon. C’est au dépit d’une mauvaise compréhension)
20
Anakin le 5 janvier 2009 à 15:02
euhhh a part pour se proteger de l’entourage qui connait forcement le mot de passe si on l’a choisit par mi les dates de naissances ou ses animaux preferes, quel est le but de la manoeuvre d’avoir un mdp tellement complique qu’on va soi-meme l’oublier ? Si qqun a decide de hacker le mot de passe SANS CONNAITRE a l’avance aucune indication sur la personne ni sur ses mots de passe potentiels, au final ca ne devrait lui prendre que quelques heures de plus pour le cracker avec un logiciel non ?
21
Gilles le 5 janvier 2009 à 15:09
Qu’est-ce qui est vraiment pire entre les gens qui utilisent des mots de passe simples et les développeurs qui transmettent et stockent les MDP en clair?
22
cybearDJM le 5 janvier 2009 à 15:16
Perso, j’aime beaucoup « test »… pratique, efficace…. peut varier en test1 test2… pour plus de securite
23
Targhan le 5 janvier 2009 à 15:21
> Normalement crypté en base de
> données, mais simple à décrypter
> pour le développeur qui a mis en
> place le cryptage, voir même pour
> d’autres !
Heureusement non
Il y a une grosse différence entre cryptage et hashage
24
st3ph le 5 janvier 2009 à 15:26
@Steph: Oui et non, en général on se base sur md5 pour crypter, donc on ne peut retrouver le mot de passe
25
Cuocthiseo le 5 janvier 2009 à 15:28
Il y a aussi le mot de passe identique au login qui est assez courant.
26
Bastien le 5 janvier 2009 à 15:33
Oui t’as dit une bétise, on ne dit pas crypté mais chiffré en bon français
27
arnaudv le 5 janvier 2009 à 15:51
Le bon mot de passe est celui qui décourage tout le monde de le taper
28
David Bénard le 5 janvier 2009 à 15:56
Excellent, j’adore fuckme (20ème quand même !!)
29
pilou le 5 janvier 2009 à 16:05
@gilles : l’ajout d’un charactere au mot de passe augmente de façon exponetielle la liste de tous les mots de passe a tester. Si tu a un caractere, supposons entre a et z, il y a 26 possibilitées. si tu as 2 caracteres, il y a 26*26 = 675 posibilités. avec 4 on arrive a 456976.
Avec 8 characteres, on est a des chiffres vraiment enorme. Ca c’est dans l’hypothese ou l’on teste tous les mots possibles, y compris ceux qui n’ont pas de sens. En revanche, si ton mot de passe a un sens (un nom, toto, apple, etc.) alors il est possible de le trouver beaucoup plus vite a partir d’une liste de mots, une sorte de dictionnaire.
30
antouane le 5 janvier 2009 à 16:46
+1 pour Targhan
Lorsque l’on stocke des mots de passe on utilise un hashage (md5, sha1/256/512 etc) et non un cryptage.
Le cryptage a pour but d’être décrypté et donc lu, pas un mot de passe.
31
AM le 5 janvier 2009 à 17:05
Certain site bien connu ne hache par les mots de passe. Un mot de passe simple peu être déhaché que ce soit md5 ou sha.
32
Targhan le 5 janvier 2009 à 17:14
Oui et non on peut casser un hash avec des « RainBow Tables » : en gros avec une quantité astronomique de passwords hashés, on arrive à trouver le même hash et en déduire le mot de passe.
Mais il existe des méthodes simples pour contrer ça (mettre du sel).
Bref, on peut déhasher un mot de passe uniquement si c’est assez mal codé.
Tu as raison des sites de renoms sont inquiétants ! Par exemple, un site qui est capable de vous renvoyer votre mot de passe (en plus par mail !) est à fuir.
33
David BONIN le 5 janvier 2009 à 17:30
Ouf! j’utilise « zer123Arf » comme mot de passe, il n’est pas dans la liste, je suis sauvé !
34
cedric1973 le 5 janvier 2009 à 17:48
On ne dit pas crypté, mais chiffré !
35
Mathurin le 5 janvier 2009 à 18:03
Quoi ?! y’a même pas « azerty » !
36
AM le 5 janvier 2009 à 18:11
@Targhan c’est ce que j’ai voulu dire en plus court
37
Zim le 5 janvier 2009 à 18:43
On ne citera ni sites, ni entreprise mais beaucoup ne crypte ni ne passe au md5 quelque mot de passe que ce soit.
Tout est en clair dans les DB, c’est très courant.
En tout cas cette liste est marrante, j’espère qu’elle s’avèrera utile pour les utilisateurs peu avertis plus qu’au casseurs de password.
38
BEN le 5 janvier 2009 à 19:02
Ce fut un débat très technique, vos interventions vont me servir pour crypter mes mots de passe merci ^^
39
TIbo le 5 janvier 2009 à 19:59
Je suis étonner par l’absence de « admin » ou c’est moi qui l’ai pas trouver.
En tout cas mettre des caractère spéciaux c’est assez simple : la date d’anniversaire d’un proche en utilisant les caractères des nombres du haut du clavier. Combiner avec le prénom c’est simple et efficace.
40
Olivier le 5 janvier 2009 à 20:41
C’est souvent l’affichage qui n’est pas crypté/hashé. Et des petits outils permettent d’afficher le contenu des ******* dans un formulaire avec un simple clic de souris.
merci pour ce billet
41
Anthony le 5 janvier 2009 à 21:03
Un mot de passe n’est pas forcément crypté par définition. A mon avis, on n’imagine même pas combien de sites enregistrent nos mot de passes en clair. Et même avec cryptage, un mot de passe courant en md5 se crack en 2 secondes avec une librairie.
42
Nicknick63 le 5 janvier 2009 à 22:07
@Olivier : Je ne vois pas où est le problème. En effet, il suffit de supprimer changer l’attribut « type » de « password » en « text » pour voir le mot de passe sans les étoiles. Mais cette petite protection a juste pour but d’empêcher une personne de voir votre mot de passe par dessus votre épaule quand vous le tapez.
@Anthony : Oui, mais il me semble que ces sites sont hors la loi. Les mots de passe ne doivent pas figurer en clair à aucun endroit du site. D’ailleurs, il n’y a aucun intérêt à faire ça, il suffit d’en créer un nouveau aléatoirement si l’utilisateur oublie le siens.
Ensuite oui, un mot de passe hashé avec md5 peut-être retrouvé, mais par contre s’il est hashé avec un algorithme comme sha1 avec en plus un grain de sel, il est pour ainsi dire impossible de le retrouver.
43
Nicolas TAFFOREAU le 6 janvier 2009 à 00:19
@Adrien Ok, je préfère ça
44
Foxbot le 6 janvier 2009 à 09:02
$pass = md5(md5($_POST['password']));
Et la, accrochez vous pour le déchiffrer, Rainbow Table ou pas.
45
Docteur Buzz le 10 janvier 2009 à 17:16
Etonnant il n’y a pas toto
Ouf !
46
sophie le 12 janvier 2009 à 11:37
« Par exemple, un site qui est capable de vous renvoyer votre mot de passe (en plus par mail !) est à fuir. »
Faut pas non plus exagérer, ça dépend aussi beaucoup de ce que propose le site, si ya transactions et données sensibles ok (banque, e-commerce, messageries…), mais pour les forums ou autre accès de type infos c’est pas non plus la peine de compliquer la récupération de mot de passe. Quand c’est trop compliqué (et le mot « compliqué » a une teneur très variable suivant les utilisateurs) beaucoup vont préférer et trouver plus rapide d’ouvrir un nouveau compte…
47
null le 10 février 2009 à 18:55
xblods
48
Lahlou_kabyle le 8 mai 2010 à 23:05
Qui a pensé a mon mdp NTICcyber*cafe
et est ce que c’est securisé d’utilisé un seul mot de passe pour tout mes adresse? jai du mal a me souvenir