Statistiquement parlant, vos mots de passe sont probablement nuls. Au moins, c’est l’implication faite par une équipe de recherche de cybersécurité, qui a analysé plus de 19 milliards de mots de passe divulgués et a constaté que seulement six pour cent étaient uniques.
CyberNews s’est peigné par le biais de données accessibles au public à partir de 200 violations et fuites qui se sont produites depuis avril 2024, à la recherche de tendances et de points communs entre les mots de passe révélés. Un peu plus d’un milliard étaient assez forts pour résister aux attaques du dictionnaire. Le vaste reste était faible.
(Pour mettre des chiffres à ce sujet: près de 18 000 000 000 de mots de passe n’étaient pas bons.)
Alors, qui sont les pires contrevenants? Quelques membres du salon dans la salle de mot de passe honte: mot de passe, administrer, 123456. CyberNews dit mot de passe et administrer chacun a été trouvé 53 millions de fois dans l’ensemble, tandis que 123456 Hauté à 338 millions. De plus, plus de 727 millions de mots de passe contiennent la séquence 1234ou près de quatre pour cent de leur ensemble de données.
Quant aux tendances dans les mots de passe faibles, CyberNews a constaté que ce sont des thèmes communs:
- Noms des personnes (# 2 les plus courants, avec 8% de chances d’utilisation dans l’un des mots de passe)
- Mots avec des significations positives
- Références de la culture pop
- Maudire
- Pays
- Villes
- États américains
- Nourriture
- Marques populaires
- Nature
- Animaux
- Saisons
- Mois
Les meilleurs mots de ces sujets incluent:
- lfaire (87 millions)
- soleil (34 millions)
- joie (6,9 millions)
- Mario (9,6 millions)
- thor (6,2 millions)
- Batman (3,9 millions))
- Putain (16 millions)
- merde (6,5 millions)
- chienne (3,2 millions)
- Rome (13 millions)
- lion (9,8 millions)
- Été (3,8 millions)
- Lundi (0,8 million)
- mai (28 millions)
- Avril (5,2 millions)
- thé (36 millions)
- Apple (10,7 millions)
- Google (25,9 millions)
- Facebook (18,7 millions)
- Kia (12,7 millions)
- Boss (10 millions)
- chasseur (6,6 millions)
- Soccer (4 millions)
- football (3,4 millions)
- Caroline (1,9 million)
- Dakota (1,2 million)
- Texas (1,1 million)
- Dieu (24 millions)
- enfer (20 millions)
Si vous vous demandez ce qui fait un mot de passe faible, la réponse est assez simple. C’est tout facilement deviné – par des humains ou des ordinateurs. Et ces jours-ci, le logiciel de craquage de mot de passe a été nourri de dictionnaires et d’informations sur les habitudes généralisées (comme remplacer les lettres par des chiffres ou la ponctuation), ce qui rend ces applications beaucoup plus efficaces à leur tâche.
Parmi l’ensemble des mots de passe uniques, quelques points communs ont également émergé. Pour la durée, le plus populaire était de huit à 10 caractères, avec 11 caractères qui traînaient à la 4e place. Actuellement, huit caractères est le minimum habituel requis. Au moins 12 caractères est considéré comme la base de référence pour une meilleure sécurité.
Outre la longueur du mot de passe, la composition a également rendu bon nombre de ces mots de passe uniques vulnérables à la fissuration. Près d’un tiers de ces mots de passe uniques (27%) n’utilisaient que des lettres et des chiffres minuscules. Un autre 20% a combiné des lettres et des chiffres mixtes mais manquait de caractères spéciaux.
Ces formats, bien que meilleurs que les lettres minuscules seuls, peuvent toujours être attaqués par un ordinateur – où il continue d’essayer différentes combinaisons de caractères pour deviner votre mot de passe. Lorsque votre mot de passe est plus court et a moins de variété dans les types de caractères, plus il tombera facile à ce type de méthode de fissuration.
Alors, quelle est le point à retenir de ces résultats? Eh bien, d’abord et avant tout, Passkeys semble encore mieux dans cette toile de fond. Cette nouvelle méthode alternative de connexion ne nécessite aucune mémorisation, résiste à la fissuration et au phishing, et ne nécessite aucune saisie ni copie / coller. Si vous n’avez pas commencé à utiliser Passkeys, vous devriez. Ce sont une énorme mise à niveau sur les mots de passe.
Vous ne pouvez pas utiliser Passkeys? Ensuite, vous devriez faire ces quatre choses:
1. Évitez les mots et phrases facilement reconnus dans vos mots de passe.
2. Utilisez des mots de passe uniques au moins 12 caractères avec des lettres, des chiffres et des caractères spéciaux supérieurs. Idéalement, plus le matériel informatique continue de s’accélérer est plus rapidement. Le graphique ci-dessous donne un exemple de la vitesse à laquelle l’IA pourrait casser les mots de passe en 2023 – qui était déjà il y a deux ans.
3. Utilisez un gestionnaire de mots de passe. Il n’est pas réaliste de mémoriser des dizaines, voire des centaines de mots de passe. Un gestionnaire de mot de passe enlève ce travail de votre assiette, puis vous pouvez rendre vos connexions beaucoup plus compliquées (aka plus forte). La banque dit que vous pouvez utiliser jusqu’à 50 caractères pour votre mot de passe. Bien sûr, pourquoi pas?
4. Activer l’authentification à deux facteurs basée sur un logiciel (2FA) partout où vous le pouvez. Idéalement, utilisez une application distincte comme Bitwarden Authenticator ou Google Authenticator pour générer vos codes uniques. Le 2FA basé sur le texte de texte est également une option, mais il n’est pas aussi sécurisé. Si vous l’utilisez, configurez un code PIN sur votre compte de téléphone portable pour le portage des numéros et sécurisez le compte avec un mot de passe solide et 2FA pour réduire le risque de prise de contrôle du compte et d’attaques de prise SIM.
Une meilleure sécurité de mot de passe ressemble à un drag, mais il n’est pas nécessaire de l’être. Commencez d’abord avec vos comptes les plus importants, puis travaillez vers l’extérieur. Finalement, vos jours de «Mot de passe123456«Sera loin derrière vous.
