Vous avez peut être lu dans la presse ou entendu à la radio, que récemment un certain nombre de site web se sont fait voler des listes complètes d'utilisateurs incluant leurs passwords
Bien sur, ces listes ont rapidement fait leurs apparitions sur le net.
Un consultant en sécurité informatique s'est "amusé" à compilé ces listes. Il a maintenant une liste de 6 millions d'utilisateurs uniques avec leurs passwords.
De cette liste, il a extrait les 10 000 passwords les plus utilisés ...
Intéressant à noter:
le password le plus utilisé est "password"
4.7 % des utilisateurs uilisent "password" comme mot de passe
91% des utilisateurs utilisent un password qui est dans le top 1000
99.8% des utilisateurs utilisent un password qui est dans le top 10 000
10 000 passwords les plus communs Ce n'est qu'un fichier texte zippé !!
Les gens n'apprendrons jamais
Laissez moi vous raconter une petite histoire qui est arrivé à une de mes connaissances récemment.
Comme beaucoup de gens, elle utilise un service de email en ligne (comme moi), Yahoo pour ne pas le nommer !!
Un jour, elle arrive au bureau et constate qu'elle ne peux plus accédé à sa boite email !! Elle ne s'inquiète pas tout de suite, jusqu'à recevoir un coup de fil sur son GSM de sa meilleure amie.
Celle-ci lui explique qu'elle a reçu un email venant de son adresse et expliquant qu'elle (la connaissance) était partie en Afrique (chose quelle fait assez régulièrement) et qu'elle s'était fait volé sont portefeuille et tout son argent et demandant d'envoyé d'urgence de l'argent par Western Union ...
L'amie était prête à envoyé l'argent quand prise d'un doute elle a quand même essayé d'appelé sur le GSM ... Heureusement !
Il s'est avéré que toutes les personnes de son carnet d'adresse ont reçu le même email et elle a passé le reste de la journée au téléphone à contacter toutes ses connaissances (dont plusieurs à l'étranger, y compris USA/Italie/Inde/Afrique) pour leurs expliqués la situation.
Elle a essayé de contacté aussi le support de Yahoo qui a refusé de faire quoi que ce soit (d'un coté c'est aussi un peu logique, s'ils s'amusaient à reseter les passwords de tout le monde sur un simple coup de fil ...), je crois qu'ils ont malgré tout accepté de bloqué le compte.
Bref, cela ne c'est pas trop mal fini pour elle (à part une certaine perte de crédibilité vis à vis de certains clients qui étaient dans la liste) mais imaginons que quelqu'un ne réfléchisse pas et envoie de l'argent ...
J'espère que vous utilisez un générateur aléatoire de password du type de celui-ci :
Automated Password Generator Online qui présente l'avantage de pouvoir générer des password "prononçable" (séletionnez 10 à 12 caractères minimum)
et que vous le testez avec ce site dont j'avais déjà parlé:
How Secure Is My Password?Aussi, très important, que
vous n'utilisez pas le même password pour tout les sites web L'idée de ce message (et le fichier des passwords) vient de cet article
10,000 Top Passwords (en Anglais)
Be safe
ericc
