Connect with us

Internet

Les 500 plus mauvais mots de passe de tous les temps

Il y a

le

Quel est le point commun entre 123456, porsche, qwerty, cameron, superman, asshole, tomcat ou encore ferrari ?

Ces termes font partie de la liste des plus mauvais mots de passe de tous les temps. Ne vous moquez pas, le vôtre y figure certainement.

Reste à savoir maintenant comment cette liste a été établie, puisque par définition un mot de passe est secret, personnel, et normalement crypté au moment de sa transmission et de son stockage dans une base de données.

Normalement crypté ? J’ai dit une bêtise ?

(source)

51 Commentaires

51 Commentaires

  1. Steph

    5 janvier 2009 at 14 h 00 min

    Normalement crypté en base de données, mais simple à décrypter pour le développeur qui a mis en place le cryptage, voir même pour d’autres !

  2. Wally

    5 janvier 2009 at 14 h 05 min

    j’aimerais bien voir la même liste mais avec les mots de passe des français

  3. viki53

    5 janvier 2009 at 14 h 13 min

    Merde j’en ai un qui y est. :s

    Heureusement c’est que sur des sites où je vais jamais qu’il doit être resté. 🙂

    Sinon les autres sont quasi introuvables. =D

  4. Wally

    5 janvier 2009 at 14 h 15 min

    Les gens ont beaucoup de Mdp porno je trouve …

  5. sophie

    5 janvier 2009 at 14 h 20 min

    c’est quasi pareil les mots de passe en français, azerty pour querty, sinon le reste presque identique + noms de footballeurs pour beaucoup d’hommes…je me demande tous les jours pourquoi les gens choisissent des mots de passe si simples (dans le sens qu’ils veulent dire quelque chose, que ce sont des mots) mais quand je vois des trucs comme dwpx518_qk&OO je me demande aussi ce qui leur passe par la tête 😉

  6. Nicolas TAFFOREAU

    5 janvier 2009 at 14 h 25 min

    ça me fait penser aux dictionnaires que l’on utilisait avec les sniffers (quoi ? c’est interdit de sniffer…).

    Pour un bon mot de passe: caractères Maj et Min, lettres, chiffres et caractères spéciaux le tout faisant au moins 6 caractères.

    Et de grâce, ne notez pas ce dernier sous le clavier…

    Nicolas.

  7. Olivier

    5 janvier 2009 at 14 h 28 min

    Ou qu’il est « toto ». C’est quoi ca un top 500 sans « toto ».

    😉

  8. Pingoo

    5 janvier 2009 at 14 h 29 min

    Incroyable, y’a pas « toto ».
    Je suis sauvé.

  9. FormidableInc

    5 janvier 2009 at 14 h 29 min

    @wally: ben oui quand même… genre c’est juste la première préoccupation des gens normaux, et le premier générateur de trafic sur le net 🙂

  10. Adrien

    5 janvier 2009 at 14 h 33 min

    Un peu plus personnel mais qui pourrait entrer dans ce classement : la date de naissance. Un poil plus sécurisé que ceux cités dans l’article mais quand même… 🙂

  11. Nicolas TAFFOREAU

    5 janvier 2009 at 14 h 38 min

    @Adrien Je ne suis pas tout à fait d’accord (au moins pour l’entreprise), rien n’est plus « bateau » que sa date de naissance comme mot de passe (qui est très facile à trouver en entreprise).

    Au fait, tu es né quand ? 😉

  12. flipper

    5 janvier 2009 at 14 h 40 min

    @Sophie. Comment tu connais mon mot de passe?

  13. Fabrice

    5 janvier 2009 at 14 h 43 min

    Etonnant, personne n’utilise « Windows » 😉

  14. jane ifer

    5 janvier 2009 at 14 h 49 min

    moi
    j’utilise
    le nom de mes animaux de compagnie ou compagnes mais
    comme je suis de mauvaise compagnie celà change souvent selon où se trouve mes yeux!

    c’est vrai qu’il y a beaucoup de mots de passe « porn »

    en french « faischier » « putain » « chatte » »ohouiencore » version djeunes oHouienkor….

  15. Footix

    5 janvier 2009 at 14 h 50 min

    De toutes façon tous les mdp sont trouvables, le mieux c’est peut être dans mettre un tellement logique que personne n’ira le chercher. Comme « clavier »

  16. kanjiroushi

    5 janvier 2009 at 14 h 55 min

    Souvent le mot de passe est encrypte en utilisant md5 comme ca meme le developpeur ne peut pas savoir ce qui est dans la base. Le probeleme est qu on peut s amuser a faire une base de donnees qui associe le hash au mot (par exemple http://tools.benramsey.com/md5/) et ainsi pour les mots de passe de base, on retrouve facilement le mot de passe tape.

  17. tservolle

    5 janvier 2009 at 14 h 59 min

    Je me pose la question de l’interet d’avoir un mot de passe introuvable alors que la plupart du temps ledit mot de passe ne servira a rien d’autre qu’a s’authentifier sur des sites aussi vitaux qu’une messagerie electronique grâce a laquelle on discute avec les copains, ou des réseaux sociaux aussi vitaux que facebook ou twitter. Qu’un mot de passe de réseau professionnel soit sécurisé, soit, mais la multitude des sites demandant un mot de passe n’oblige t il pas à utiliser des mots de passe simples et ayant un fort pouvoir mnémotechnique ?
    le fait d’utiliser qwerty ou mypassword ne me parait pas si idiot que cela

  18. Adrien

    5 janvier 2009 at 14 h 59 min

    @Nicolas TAFFOREAU : J’ai surement du mal m’exprimer. Je suis d’accord avec toi, la date de naissance n’est pas un mot de passe, c’est ce que je voulais dire 🙂

  19. Adrien

    5 janvier 2009 at 15 h 01 min

    @Nicolas TAFFOREAU : J’ai surement du mal m’exprimer. Je suis d’accord avec toi, la date de naissance n’est pas un mot de passe sécurisé, c’est ce que je voulais dire 🙂

    (Mes excuses pour le doublon. C’est au dépit d’une mauvaise compréhension)

  20. Anakin

    5 janvier 2009 at 15 h 02 min

    euhhh a part pour se proteger de l’entourage qui connait forcement le mot de passe si on l’a choisit par mi les dates de naissances ou ses animaux preferes, quel est le but de la manoeuvre d’avoir un mdp tellement complique qu’on va soi-meme l’oublier ? Si qqun a decide de hacker le mot de passe SANS CONNAITRE a l’avance aucune indication sur la personne ni sur ses mots de passe potentiels, au final ca ne devrait lui prendre que quelques heures de plus pour le cracker avec un logiciel non ?

  21. Gilles

    5 janvier 2009 at 15 h 09 min

    Qu’est-ce qui est vraiment pire entre les gens qui utilisent des mots de passe simples et les développeurs qui transmettent et stockent les MDP en clair?

  22. cybearDJM

    5 janvier 2009 at 15 h 16 min

    Perso, j’aime beaucoup « test »… pratique, efficace…. peut varier en test1 test2… pour plus de securite 😉

  23. Targhan

    5 janvier 2009 at 15 h 21 min

    > Normalement crypté en base de
    > données, mais simple à décrypter
    > pour le développeur qui a mis en
    > place le cryptage, voir même pour
    > d’autres !
    Heureusement non 🙂
    Il y a une grosse différence entre cryptage et hashage

  24. st3ph

    5 janvier 2009 at 15 h 26 min

    @Steph: Oui et non, en général on se base sur md5 pour crypter, donc on ne peut retrouver le mot de passe

  25. Cuocthiseo

    5 janvier 2009 at 15 h 28 min

    Il y a aussi le mot de passe identique au login qui est assez courant.

  26. Bastien

    5 janvier 2009 at 15 h 33 min

    Oui t’as dit une bétise, on ne dit pas crypté mais chiffré en bon français 🙂

  27. arnaudv

    5 janvier 2009 at 15 h 51 min

    Le bon mot de passe est celui qui décourage tout le monde de le taper 😉

  28. David Bénard

    5 janvier 2009 at 15 h 56 min

    Excellent, j’adore fuckme (20ème quand même !!)

  29. pilou

    5 janvier 2009 at 16 h 05 min

    @gilles : l’ajout d’un charactere au mot de passe augmente de façon exponetielle la liste de tous les mots de passe a tester. Si tu a un caractere, supposons entre a et z, il y a 26 possibilitées. si tu as 2 caracteres, il y a 26*26 = 675 posibilités. avec 4 on arrive a 456976.
    Avec 8 characteres, on est a des chiffres vraiment enorme. Ca c’est dans l’hypothese ou l’on teste tous les mots possibles, y compris ceux qui n’ont pas de sens. En revanche, si ton mot de passe a un sens (un nom, toto, apple, etc.) alors il est possible de le trouver beaucoup plus vite a partir d’une liste de mots, une sorte de dictionnaire.

  30. antouane

    5 janvier 2009 at 16 h 46 min

    +1 pour Targhan

    Lorsque l’on stocke des mots de passe on utilise un hashage (md5, sha1/256/512 etc) et non un cryptage.

    Le cryptage a pour but d’être décrypté et donc lu, pas un mot de passe.

  31. AM

    5 janvier 2009 at 17 h 05 min

    Certain site bien connu ne hache par les mots de passe. Un mot de passe simple peu être déhaché que ce soit md5 ou sha.

  32. Targhan

    5 janvier 2009 at 17 h 14 min

    Oui et non on peut casser un hash avec des « RainBow Tables » : en gros avec une quantité astronomique de passwords hashés, on arrive à trouver le même hash et en déduire le mot de passe.
    Mais il existe des méthodes simples pour contrer ça (mettre du sel).
    Bref, on peut déhasher un mot de passe uniquement si c’est assez mal codé.

    Tu as raison des sites de renoms sont inquiétants ! Par exemple, un site qui est capable de vous renvoyer votre mot de passe (en plus par mail !) est à fuir.

  33. David BONIN

    5 janvier 2009 at 17 h 30 min

    Ouf! j’utilise « zer123Arf » comme mot de passe, il n’est pas dans la liste, je suis sauvé !

  34. cedric1973

    5 janvier 2009 at 17 h 48 min

    On ne dit pas crypté, mais chiffré !

  35. Mathurin

    5 janvier 2009 at 18 h 03 min

    Quoi ?! y’a même pas « azerty » !

  36. AM

    5 janvier 2009 at 18 h 11 min

    @Targhan c’est ce que j’ai voulu dire en plus court

  37. Zim

    5 janvier 2009 at 18 h 43 min

    On ne citera ni sites, ni entreprise mais beaucoup ne crypte ni ne passe au md5 quelque mot de passe que ce soit.

    Tout est en clair dans les DB, c’est très courant.

    En tout cas cette liste est marrante, j’espère qu’elle s’avèrera utile pour les utilisateurs peu avertis plus qu’au casseurs de password.

  38. BEN

    5 janvier 2009 at 19 h 02 min

    Ce fut un débat très technique, vos interventions vont me servir pour crypter mes mots de passe merci ^^

  39. TIbo

    5 janvier 2009 at 19 h 59 min

    Je suis étonner par l’absence de « admin » ou c’est moi qui l’ai pas trouver.

    En tout cas mettre des caractère spéciaux c’est assez simple : la date d’anniversaire d’un proche en utilisant les caractères des nombres du haut du clavier. Combiner avec le prénom c’est simple et efficace.

  40. Olivier

    5 janvier 2009 at 20 h 41 min

    C’est souvent l’affichage qui n’est pas crypté/hashé. Et des petits outils permettent d’afficher le contenu des ******* dans un formulaire avec un simple clic de souris.
    merci pour ce billet

  41. Anthony

    5 janvier 2009 at 21 h 03 min

    Un mot de passe n’est pas forcément crypté par définition. A mon avis, on n’imagine même pas combien de sites enregistrent nos mot de passes en clair. Et même avec cryptage, un mot de passe courant en md5 se crack en 2 secondes avec une librairie.

  42. Nicknick63

    5 janvier 2009 at 22 h 07 min

    @Olivier : Je ne vois pas où est le problème. En effet, il suffit de supprimer changer l’attribut « type » de « password » en « text » pour voir le mot de passe sans les étoiles. Mais cette petite protection a juste pour but d’empêcher une personne de voir votre mot de passe par dessus votre épaule quand vous le tapez.

    @Anthony : Oui, mais il me semble que ces sites sont hors la loi. Les mots de passe ne doivent pas figurer en clair à aucun endroit du site. D’ailleurs, il n’y a aucun intérêt à faire ça, il suffit d’en créer un nouveau aléatoirement si l’utilisateur oublie le siens.

    Ensuite oui, un mot de passe hashé avec md5 peut-être retrouvé, mais par contre s’il est hashé avec un algorithme comme sha1 avec en plus un grain de sel, il est pour ainsi dire impossible de le retrouver.

  43. Nicolas TAFFOREAU

    6 janvier 2009 at 0 h 19 min

    @Adrien Ok, je préfère ça 😉

  44. Foxbot

    6 janvier 2009 at 9 h 02 min

    $pass = md5(md5($_POST[‘password’]));

    Et la, accrochez vous pour le déchiffrer, Rainbow Table ou pas.

  45. Pingback: Démo de WordPress en français

  46. Pingback: Une semaine sur la toile. « La vie mobile.

  47. Docteur Buzz

    10 janvier 2009 at 17 h 16 min

    Etonnant il n’y a pas toto

    Ouf !

  48. sophie

    12 janvier 2009 at 11 h 37 min

    « Par exemple, un site qui est capable de vous renvoyer votre mot de passe (en plus par mail !) est à fuir. »
    Faut pas non plus exagérer, ça dépend aussi beaucoup de ce que propose le site, si ya transactions et données sensibles ok (banque, e-commerce, messageries…), mais pour les forums ou autre accès de type infos c’est pas non plus la peine de compliquer la récupération de mot de passe. Quand c’est trop compliqué (et le mot « compliqué » a une teneur très variable suivant les utilisateurs) beaucoup vont préférer et trouver plus rapide d’ouvrir un nouveau compte…

  49. Pingback: Pingoo commente le 26/01/2009 | Pingoo.com

  50. null

    10 février 2009 at 18 h 55 min

    xblods

  51. Lahlou_kabyle

    8 mai 2010 at 23 h 05 min

    Qui a pensé a mon mdp NTICcyber*cafe
    et est ce que c’est securisé d’utilisé un seul mot de passe pour tout mes adresse? jai du mal a me souvenir

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Dernières news

Les bons plans

Les tests