Quel est le point commun entre 123456, porsche, qwerty, cameron, superman, asshole, tomcat ou encore ferrari ?
Ces termes font partie de la liste des plus mauvais mots de passe de tous les temps. Ne vous moquez pas, le vôtre y figure certainement.
Reste à savoir maintenant comment cette liste a été établie, puisque par définition un mot de passe est secret, personnel, et normalement crypté au moment de sa transmission et de son stockage dans une base de données.
Normalement crypté ? J’ai dit une bêtise ?
(source)
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Normalement crypté en base de données, mais simple à décrypter pour le développeur qui a mis en place le cryptage, voir même pour d’autres !
j’aimerais bien voir la même liste mais avec les mots de passe des français
Merde j’en ai un qui y est. :s
Heureusement c’est que sur des sites où je vais jamais qu’il doit être resté. 🙂
Sinon les autres sont quasi introuvables. =D
Les gens ont beaucoup de Mdp porno je trouve …
c’est quasi pareil les mots de passe en français, azerty pour querty, sinon le reste presque identique + noms de footballeurs pour beaucoup d’hommes…je me demande tous les jours pourquoi les gens choisissent des mots de passe si simples (dans le sens qu’ils veulent dire quelque chose, que ce sont des mots) mais quand je vois des trucs comme dwpx518_qk&OO je me demande aussi ce qui leur passe par la tête 😉
ça me fait penser aux dictionnaires que l’on utilisait avec les sniffers (quoi ? c’est interdit de sniffer…).
Pour un bon mot de passe: caractères Maj et Min, lettres, chiffres et caractères spéciaux le tout faisant au moins 6 caractères.
Et de grâce, ne notez pas ce dernier sous le clavier…
Nicolas.
Ou qu’il est “toto”. C’est quoi ca un top 500 sans “toto”.
😉
Incroyable, y’a pas “toto”.
Je suis sauvé.
@wally: ben oui quand même… genre c’est juste la première préoccupation des gens normaux, et le premier générateur de trafic sur le net 🙂
Un peu plus personnel mais qui pourrait entrer dans ce classement : la date de naissance. Un poil plus sécurisé que ceux cités dans l’article mais quand même… 🙂
@Adrien Je ne suis pas tout à fait d’accord (au moins pour l’entreprise), rien n’est plus “bateau” que sa date de naissance comme mot de passe (qui est très facile à trouver en entreprise).
Au fait, tu es né quand ? 😉
@Sophie. Comment tu connais mon mot de passe?
Etonnant, personne n’utilise “Windows” 😉
moi
j’utilise
le nom de mes animaux de compagnie ou compagnes mais
comme je suis de mauvaise compagnie celà change souvent selon où se trouve mes yeux!
c’est vrai qu’il y a beaucoup de mots de passe “porn”
en french “faischier” “putain” “chatte””ohouiencore” version djeunes oHouienkor….
De toutes façon tous les mdp sont trouvables, le mieux c’est peut être dans mettre un tellement logique que personne n’ira le chercher. Comme “clavier”
Souvent le mot de passe est encrypte en utilisant md5 comme ca meme le developpeur ne peut pas savoir ce qui est dans la base. Le probeleme est qu on peut s amuser a faire une base de donnees qui associe le hash au mot (par exemple http://tools.benramsey.com/md5/) et ainsi pour les mots de passe de base, on retrouve facilement le mot de passe tape.
Je me pose la question de l’interet d’avoir un mot de passe introuvable alors que la plupart du temps ledit mot de passe ne servira a rien d’autre qu’a s’authentifier sur des sites aussi vitaux qu’une messagerie electronique grâce a laquelle on discute avec les copains, ou des réseaux sociaux aussi vitaux que facebook ou twitter. Qu’un mot de passe de réseau professionnel soit sécurisé, soit, mais la multitude des sites demandant un mot de passe n’oblige t il pas à utiliser des mots de passe simples et ayant un fort pouvoir mnémotechnique ?
le fait d’utiliser qwerty ou mypassword ne me parait pas si idiot que cela
@Nicolas TAFFOREAU : J’ai surement du mal m’exprimer. Je suis d’accord avec toi, la date de naissance n’est pas un mot de passe, c’est ce que je voulais dire 🙂
@Nicolas TAFFOREAU : J’ai surement du mal m’exprimer. Je suis d’accord avec toi, la date de naissance n’est pas un mot de passe sécurisé, c’est ce que je voulais dire 🙂
(Mes excuses pour le doublon. C’est au dépit d’une mauvaise compréhension)
euhhh a part pour se proteger de l’entourage qui connait forcement le mot de passe si on l’a choisit par mi les dates de naissances ou ses animaux preferes, quel est le but de la manoeuvre d’avoir un mdp tellement complique qu’on va soi-meme l’oublier ? Si qqun a decide de hacker le mot de passe SANS CONNAITRE a l’avance aucune indication sur la personne ni sur ses mots de passe potentiels, au final ca ne devrait lui prendre que quelques heures de plus pour le cracker avec un logiciel non ?
Qu’est-ce qui est vraiment pire entre les gens qui utilisent des mots de passe simples et les développeurs qui transmettent et stockent les MDP en clair?
Perso, j’aime beaucoup “test”… pratique, efficace…. peut varier en test1 test2… pour plus de securite 😉
> Normalement crypté en base de
> données, mais simple à décrypter
> pour le développeur qui a mis en
> place le cryptage, voir même pour
> d’autres !
Heureusement non 🙂
Il y a une grosse différence entre cryptage et hashage
@Steph: Oui et non, en général on se base sur md5 pour crypter, donc on ne peut retrouver le mot de passe
Il y a aussi le mot de passe identique au login qui est assez courant.
Oui t’as dit une bétise, on ne dit pas crypté mais chiffré en bon français 🙂
Le bon mot de passe est celui qui décourage tout le monde de le taper 😉
Excellent, j’adore fuckme (20ème quand même !!)
@gilles : l’ajout d’un charactere au mot de passe augmente de façon exponetielle la liste de tous les mots de passe a tester. Si tu a un caractere, supposons entre a et z, il y a 26 possibilitées. si tu as 2 caracteres, il y a 26*26 = 675 posibilités. avec 4 on arrive a 456976.
Avec 8 characteres, on est a des chiffres vraiment enorme. Ca c’est dans l’hypothese ou l’on teste tous les mots possibles, y compris ceux qui n’ont pas de sens. En revanche, si ton mot de passe a un sens (un nom, toto, apple, etc.) alors il est possible de le trouver beaucoup plus vite a partir d’une liste de mots, une sorte de dictionnaire.
+1 pour Targhan
Lorsque l’on stocke des mots de passe on utilise un hashage (md5, sha1/256/512 etc) et non un cryptage.
Le cryptage a pour but d’être décrypté et donc lu, pas un mot de passe.
Certain site bien connu ne hache par les mots de passe. Un mot de passe simple peu être déhaché que ce soit md5 ou sha.
Oui et non on peut casser un hash avec des “RainBow Tables” : en gros avec une quantité astronomique de passwords hashés, on arrive à trouver le même hash et en déduire le mot de passe.
Mais il existe des méthodes simples pour contrer ça (mettre du sel).
Bref, on peut déhasher un mot de passe uniquement si c’est assez mal codé.
Tu as raison des sites de renoms sont inquiétants ! Par exemple, un site qui est capable de vous renvoyer votre mot de passe (en plus par mail !) est à fuir.
Ouf! j’utilise “zer123Arf” comme mot de passe, il n’est pas dans la liste, je suis sauvé !
On ne dit pas crypté, mais chiffré !
Quoi ?! y’a même pas “azerty” !
@Targhan c’est ce que j’ai voulu dire en plus court
On ne citera ni sites, ni entreprise mais beaucoup ne crypte ni ne passe au md5 quelque mot de passe que ce soit.
Tout est en clair dans les DB, c’est très courant.
En tout cas cette liste est marrante, j’espère qu’elle s’avèrera utile pour les utilisateurs peu avertis plus qu’au casseurs de password.
Ce fut un débat très technique, vos interventions vont me servir pour crypter mes mots de passe merci ^^
Je suis étonner par l’absence de “admin” ou c’est moi qui l’ai pas trouver.
En tout cas mettre des caractère spéciaux c’est assez simple : la date d’anniversaire d’un proche en utilisant les caractères des nombres du haut du clavier. Combiner avec le prénom c’est simple et efficace.
C’est souvent l’affichage qui n’est pas crypté/hashé. Et des petits outils permettent d’afficher le contenu des ******* dans un formulaire avec un simple clic de souris.
merci pour ce billet
Un mot de passe n’est pas forcément crypté par définition. A mon avis, on n’imagine même pas combien de sites enregistrent nos mot de passes en clair. Et même avec cryptage, un mot de passe courant en md5 se crack en 2 secondes avec une librairie.
@Olivier : Je ne vois pas où est le problème. En effet, il suffit de supprimer changer l’attribut “type” de “password” en “text” pour voir le mot de passe sans les étoiles. Mais cette petite protection a juste pour but d’empêcher une personne de voir votre mot de passe par dessus votre épaule quand vous le tapez.
@Anthony : Oui, mais il me semble que ces sites sont hors la loi. Les mots de passe ne doivent pas figurer en clair à aucun endroit du site. D’ailleurs, il n’y a aucun intérêt à faire ça, il suffit d’en créer un nouveau aléatoirement si l’utilisateur oublie le siens.
Ensuite oui, un mot de passe hashé avec md5 peut-être retrouvé, mais par contre s’il est hashé avec un algorithme comme sha1 avec en plus un grain de sel, il est pour ainsi dire impossible de le retrouver.
@Adrien Ok, je préfère ça 😉
$pass = md5(md5($_POST[‘password’]));
Et la, accrochez vous pour le déchiffrer, Rainbow Table ou pas.
Etonnant il n’y a pas toto
Ouf !
“Par exemple, un site qui est capable de vous renvoyer votre mot de passe (en plus par mail !) est à fuir.”
Faut pas non plus exagérer, ça dépend aussi beaucoup de ce que propose le site, si ya transactions et données sensibles ok (banque, e-commerce, messageries…), mais pour les forums ou autre accès de type infos c’est pas non plus la peine de compliquer la récupération de mot de passe. Quand c’est trop compliqué (et le mot “compliqué” a une teneur très variable suivant les utilisateurs) beaucoup vont préférer et trouver plus rapide d’ouvrir un nouveau compte…
xblods
Qui a pensé a mon mdp NTICcyber*cafe
et est ce que c’est securisé d’utilisé un seul mot de passe pour tout mes adresse? jai du mal a me souvenir