Mots de passe : des choix déconcertants

Le par  |  9 commentaire(s)
Cadenas

Les mots de passe des utilisateurs ne sont pas plus compliqués que 1234. Une aubaine pour les pirates informatiques.

CadenasFace au nombre de mots de passe toujours croissant qu'ils ont à retenir, les internautes semblent avoir pris le parti de la simplicité la plus basique. Ils se facilitent la vie mais facilitent également celle de pirates informatiques qui cherchent par exemple à s'introduire dans un système via une identité usurpée.

Tout commence par le vol d'une base de données et Errata Security rapporte que le site phpBB.com a justement été la victime récente d'une attaque avec pour conséquence la fuite dans la nature de quelque 400 000 adresses e-mail. De retour après une interruption de quelques jours, le site phpBB.com se demande encore le pourquoi d'une telle attaque à l'encontre des membres de sa communauté, leur demandant de modifier leurs mots de passe dès que possible.

Outre les adresses e-mail, le pirate a également pu récupérer les hashs des mots de passe servant à s'identifier sur le forum du site. A priori, en usant d'une attaque par dictionnaire, il n'a pas eu trop de mal à les déchiffrer. Les utilisateurs lui ont donc simplifié la tâche par leurs choix.

Le PDG d'Errata Security a confié à Information Week (relayé par l'AFP) que suite à l'analyse statistique de 28 000 mots de passe volés, 16 % des internautes concernés avaient fait le choix d'un simple prénom, souvent leur propre prénom, voire celui de l'un de leurs enfants. 14 % ont préféré une série de touches successives du clavier du type " 1234 " ou " AZERTY ". Egalement pas mal de " Yes " ou " No ", et sans doute l'un des plus recherchés avec comme choix de password... password.

Pas très sérieux tout cela pour Robert Graham qui rappelle ce que nombre de ses pairs préconisent, à savoir le choix d'un mot de passe robuste constitué d'au moins huit caractères mélangeant majuscules, minuscules, chiffres et symboles.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #414141
"Les mots de passe des utilisateurs ne pas plus compliqués que 1234. "
ne (sont) pas?

"A priori, en usant de la force brute, il n'a pas eu trop de mal à les déchiffrer. Les utilisateurs lui ont donc simplifié la tâche par leurs choix."
Si les utilisateurs lui ont facilité la tache en prenant des mots de passe facile à retrouver alors c'est qu'il a utilisé un dictionnaire (recherche de mot déjà référencé ) et pas la force brute (test de toutes les combinaisons possible).


En tout cas, en dehors des mots de passe on voit bien que la légendaire fiabilité de phpbb est toujours d'actualité.
Le #414181
beaucoup de gens non initié à l'informatique n'ont toujours pas compris que leur login et mot de passe c'est ce qui permet de les distinguer des autres et que par conséquent si quelqu'un est en possession du dit couple il se fait passer pour l'autre. Tout le monde l'a comprit pour le code de la carte bleu pourquoi pas les mots de passe ?

Ca va être sympa quand je vais commencer ma carrière dans l'administration système et réseau.
Le #414191
Certaines banques laissent le choix du code de carte bleu. Quand tu vois ce que beaucoup de gens choisissent comme code, tu te dis que c'est pas pire sur internet.

Au niveau des portes d'immeuble aussi c'est folklorique : années telles que 1945, chiffres qui se suivent, touches contigus, série mathématique simple (par exemple les chiffres pair) et j'en passe. Le mieux c'est qu'en plus, pour une porte donnée, les agences immobilières bouclent souvent sur la même série de code quand ils en changent.

Quand on voit comment les gens choisissent les codes en dehors d'internet, il ne faut pas s'étonner que ça soit pareil sur internet.
Le #414241
@omega2:
Tu parle de quoi la ??? As-tu été visité le site de phpbb ??? Le hackers n'a pas pu casser le forum pour dérobé la base de donnée. Il a utiliser une faille dans un script tiers (PHPlist) qui n'était plus a jour depuis...3 jours !!
Concernant l'article, le hash des mot de passe concerne les utilisateur qui ne se sont pas reconnecter au forum depuis sont passage en V3. La V2 "cryptais" les mot de passe avec un hash MD5, alors que la V3 utilise un algorythme non reversible. Au passage a la V3, tous les utilisateurs qui se connectais, voyait leur mot de passe mis a jour dans la base et crypté de façon plus sur.
D'ailleur, tous les forums phpbb V2 stock encore leur mot de passe avec un hash MD5 dans la base.
Le #414251
En effet, le web n'est que le reflet de ce qu'il se passe dans la vie courante, donc les mots de passe simplissimes n'ont rien d'étonnant.

Et comme dit dans l'article, le nombre de mots de passe va croissant. Perso pour mes mdp j'ai souvent une combinaison du type [chaine fixe compliquée et exotique pas dans les dicos] + [chaine dépendant du site web]. Le tout fait un mdp assez compliqué, mais si on en connait un on peut retrouver les mdp des autres sites...

Mais même avec ça, j'ai bien trop de mdp différents, donc petit fichier archive sur mon DD (avec cette fois bon gros mdp de plus de 20 caractères que je connait par coeur).

Tout ça, ça reste trop compliqué pour l'internaute lambda
Le #414271
->coco
ravis d'apprendre que MD5 est un algo de hashage réversible ... de même qu'il puisse exister un algo de hashage réversible en fait ...
deathscythe0666 Hors ligne VIP 5898 points
Le #414321
@trictrac

lol, j'y ai pensé aussi

@omega2

Quand les mots de passe sont simples, c'est aussi plus simple d'attaquer en force brute (tu te restreins par exemple à des chiffres, puis des lettres min, etc.)
Le #414361
Un des meilleurs trucs pour les mots de passe, inventer un mot qui se prononce quand même mais qui n'existe pas, ajouter des majuscules et minuscules et au moins 1 espace dedans et quelques symboles au choix et vous êtes en sécurité, car peu de pirates vont penser a l'espace dans un mot de passe.
Le #414371
deathscythe0666>ca existe encore la brute force?
les serveurs ne laissent plus passer ce genre de truc
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]