Les 500 plus mauvais mots de passe de tous les temps

Quel est le point commun entre 123456, porsche, qwerty, cameron, superman, asshole, tomcat ou encore ferrari ? Ces termes font partie de la liste des plus mauvais mots de passe de tous les temps. Ne vous moquez pas, le vôtre y figure certainement. Reste à savoir maintenant comment cette liste a été établie, puisque par

Quel est le point commun entre 123456, porsche, qwerty, cameron, superman, asshole, tomcat ou encore ferrari ?

Ces termes font partie de la liste des plus mauvais mots de passe de tous les temps. Ne vous moquez pas, le vôtre y figure certainement.

Reste à savoir maintenant comment cette liste a été établie, puisque par définition un mot de passe est secret, personnel, et normalement crypté au moment de sa transmission et de son stockage dans une base de données.

Normalement crypté ? J’ai dit une bêtise ?

(source)

51 commentaires

  1. Stéphane Gillet

    Normalement crypté en base de données, mais simple à décrypter pour le développeur qui a mis en place le cryptage, voir même pour d’autres !

  2. Merde j’en ai un qui y est. :s

    Heureusement c’est que sur des sites où je vais jamais qu’il doit être resté. :)

    Sinon les autres sont quasi introuvables. =D

  3. c’est quasi pareil les mots de passe en français, azerty pour querty, sinon le reste presque identique + noms de footballeurs pour beaucoup d’hommes…je me demande tous les jours pourquoi les gens choisissent des mots de passe si simples (dans le sens qu’ils veulent dire quelque chose, que ce sont des mots) mais quand je vois des trucs comme dwpx518_qk&OO je me demande aussi ce qui leur passe par la tête ;)

  4. ça me fait penser aux dictionnaires que l’on utilisait avec les sniffers (quoi ? c’est interdit de sniffer…).

    Pour un bon mot de passe: caractères Maj et Min, lettres, chiffres et caractères spéciaux le tout faisant au moins 6 caractères.

    Et de grâce, ne notez pas ce dernier sous le clavier…

    Nicolas.

  5. FormidableInc on

    @wally: ben oui quand même… genre c’est juste la première préoccupation des gens normaux, et le premier générateur de trafic sur le net :-)

  6. Un peu plus personnel mais qui pourrait entrer dans ce classement : la date de naissance. Un poil plus sécurisé que ceux cités dans l’article mais quand même… :-)

  7. @Adrien Je ne suis pas tout à fait d’accord (au moins pour l’entreprise), rien n’est plus « bateau » que sa date de naissance comme mot de passe (qui est très facile à trouver en entreprise).

    Au fait, tu es né quand ? ;-)

  8. moi
    j’utilise
    le nom de mes animaux de compagnie ou compagnes mais
    comme je suis de mauvaise compagnie celà change souvent selon où se trouve mes yeux!

    c’est vrai qu’il y a beaucoup de mots de passe « porn »

    en french « faischier » « putain » « chatte »"ohouiencore » version djeunes oHouienkor….

  9. De toutes façon tous les mdp sont trouvables, le mieux c’est peut être dans mettre un tellement logique que personne n’ira le chercher. Comme « clavier »

  10. Souvent le mot de passe est encrypte en utilisant md5 comme ca meme le developpeur ne peut pas savoir ce qui est dans la base. Le probeleme est qu on peut s amuser a faire une base de donnees qui associe le hash au mot (par exemple http://tools.benramsey.com/md5/) et ainsi pour les mots de passe de base, on retrouve facilement le mot de passe tape.

  11. Je me pose la question de l’interet d’avoir un mot de passe introuvable alors que la plupart du temps ledit mot de passe ne servira a rien d’autre qu’a s’authentifier sur des sites aussi vitaux qu’une messagerie electronique grâce a laquelle on discute avec les copains, ou des réseaux sociaux aussi vitaux que facebook ou twitter. Qu’un mot de passe de réseau professionnel soit sécurisé, soit, mais la multitude des sites demandant un mot de passe n’oblige t il pas à utiliser des mots de passe simples et ayant un fort pouvoir mnémotechnique ?
    le fait d’utiliser qwerty ou mypassword ne me parait pas si idiot que cela

  12. @Nicolas TAFFOREAU : J’ai surement du mal m’exprimer. Je suis d’accord avec toi, la date de naissance n’est pas un mot de passe, c’est ce que je voulais dire :-)

  13. @Nicolas TAFFOREAU : J’ai surement du mal m’exprimer. Je suis d’accord avec toi, la date de naissance n’est pas un mot de passe sécurisé, c’est ce que je voulais dire :-)

    (Mes excuses pour le doublon. C’est au dépit d’une mauvaise compréhension)

  14. euhhh a part pour se proteger de l’entourage qui connait forcement le mot de passe si on l’a choisit par mi les dates de naissances ou ses animaux preferes, quel est le but de la manoeuvre d’avoir un mdp tellement complique qu’on va soi-meme l’oublier ? Si qqun a decide de hacker le mot de passe SANS CONNAITRE a l’avance aucune indication sur la personne ni sur ses mots de passe potentiels, au final ca ne devrait lui prendre que quelques heures de plus pour le cracker avec un logiciel non ?

  15. Qu’est-ce qui est vraiment pire entre les gens qui utilisent des mots de passe simples et les développeurs qui transmettent et stockent les MDP en clair?

  16. > Normalement crypté en base de
    > données, mais simple à décrypter
    > pour le développeur qui a mis en
    > place le cryptage, voir même pour
    > d’autres !
    Heureusement non :)
    Il y a une grosse différence entre cryptage et hashage

  17. @Steph: Oui et non, en général on se base sur md5 pour crypter, donc on ne peut retrouver le mot de passe

  18. @gilles : l’ajout d’un charactere au mot de passe augmente de façon exponetielle la liste de tous les mots de passe a tester. Si tu a un caractere, supposons entre a et z, il y a 26 possibilitées. si tu as 2 caracteres, il y a 26*26 = 675 posibilités. avec 4 on arrive a 456976.
    Avec 8 characteres, on est a des chiffres vraiment enorme. Ca c’est dans l’hypothese ou l’on teste tous les mots possibles, y compris ceux qui n’ont pas de sens. En revanche, si ton mot de passe a un sens (un nom, toto, apple, etc.) alors il est possible de le trouver beaucoup plus vite a partir d’une liste de mots, une sorte de dictionnaire.

  19. +1 pour Targhan

    Lorsque l’on stocke des mots de passe on utilise un hashage (md5, sha1/256/512 etc) et non un cryptage.

    Le cryptage a pour but d’être décrypté et donc lu, pas un mot de passe.

  20. Certain site bien connu ne hache par les mots de passe. Un mot de passe simple peu être déhaché que ce soit md5 ou sha.

  21. Oui et non on peut casser un hash avec des « RainBow Tables » : en gros avec une quantité astronomique de passwords hashés, on arrive à trouver le même hash et en déduire le mot de passe.
    Mais il existe des méthodes simples pour contrer ça (mettre du sel).
    Bref, on peut déhasher un mot de passe uniquement si c’est assez mal codé.

    Tu as raison des sites de renoms sont inquiétants ! Par exemple, un site qui est capable de vous renvoyer votre mot de passe (en plus par mail !) est à fuir.

  22. On ne citera ni sites, ni entreprise mais beaucoup ne crypte ni ne passe au md5 quelque mot de passe que ce soit.

    Tout est en clair dans les DB, c’est très courant.

    En tout cas cette liste est marrante, j’espère qu’elle s’avèrera utile pour les utilisateurs peu avertis plus qu’au casseurs de password.

  23. Ce fut un débat très technique, vos interventions vont me servir pour crypter mes mots de passe merci ^^

  24. Je suis étonner par l’absence de « admin » ou c’est moi qui l’ai pas trouver.

    En tout cas mettre des caractère spéciaux c’est assez simple : la date d’anniversaire d’un proche en utilisant les caractères des nombres du haut du clavier. Combiner avec le prénom c’est simple et efficace.

  25. C’est souvent l’affichage qui n’est pas crypté/hashé. Et des petits outils permettent d’afficher le contenu des ******* dans un formulaire avec un simple clic de souris.
    merci pour ce billet

  26. Un mot de passe n’est pas forcément crypté par définition. A mon avis, on n’imagine même pas combien de sites enregistrent nos mot de passes en clair. Et même avec cryptage, un mot de passe courant en md5 se crack en 2 secondes avec une librairie.

  27. @Olivier : Je ne vois pas où est le problème. En effet, il suffit de supprimer changer l’attribut « type » de « password » en « text » pour voir le mot de passe sans les étoiles. Mais cette petite protection a juste pour but d’empêcher une personne de voir votre mot de passe par dessus votre épaule quand vous le tapez.

    @Anthony : Oui, mais il me semble que ces sites sont hors la loi. Les mots de passe ne doivent pas figurer en clair à aucun endroit du site. D’ailleurs, il n’y a aucun intérêt à faire ça, il suffit d’en créer un nouveau aléatoirement si l’utilisateur oublie le siens.

    Ensuite oui, un mot de passe hashé avec md5 peut-être retrouvé, mais par contre s’il est hashé avec un algorithme comme sha1 avec en plus un grain de sel, il est pour ainsi dire impossible de le retrouver.

  28. Pingback: Démo de WordPress en français

  29. Pingback: Une semaine sur la toile. « La vie mobile.

  30. « Par exemple, un site qui est capable de vous renvoyer votre mot de passe (en plus par mail !) est à fuir. »
    Faut pas non plus exagérer, ça dépend aussi beaucoup de ce que propose le site, si ya transactions et données sensibles ok (banque, e-commerce, messageries…), mais pour les forums ou autre accès de type infos c’est pas non plus la peine de compliquer la récupération de mot de passe. Quand c’est trop compliqué (et le mot « compliqué » a une teneur très variable suivant les utilisateurs) beaucoup vont préférer et trouver plus rapide d’ouvrir un nouveau compte…

  31. Pingback: Pingoo commente le 26/01/2009 | Pingoo.com

  32. Lahlou_kabyle on

    Qui a pensé a mon mdp NTICcyber*cafe
    et est ce que c’est securisé d’utilisé un seul mot de passe pour tout mes adresse? jai du mal a me souvenir

Lire les articles précédents :
embedit.in, le moyen le plus simple d’insérer des documents dans une page web

Voilà un service aussi simple que génial : Embedit.in vous permet d'insérer tous types de documents dans une page web,...

Fermer