« 123456 » est le mot de passe le plus utilisé en 2023, comme le révèle la cinquième étude annuelle de NordPass. Outre les mots de passe les plus utilisés dans 35 pays différents, l’étude s’intéresse cette année aux mots de passe utilisés pour différents services en ligne, et si ces mots de passe diffèrent ou non.
Parmi les 20 mots de passe les plus courants répertoriés ci-dessous, on retrouve à la fois les coupables habituels et quelques nouveaux venus. La liste complète des mots de passe mondiaux, ainsi que des listes distinctes pour 35 pays et pour 8 types de plateformes, sont disponibles ici: https://nordpass.com/most-common-passwords-list,
- 123456
- admin
- 12345678
- 123456789
- 1234
- 12345
- password
- 123
- Aa123456
- 1234567890
- UNKNOWN
- 1234567
- 123123
- 111111
- Password
- 12345678910
- 000000
- admin123
- ********
- user
Bien que les mots de passe varient grandement d’un pays à l’autre, certaines tendances se dessinent clairement au niveau mondial.
- L’étude conclut que les internautes utilisent les mots de passe les plus faibles pour leurs comptes de streaming. En revanche, les mots de passe les plus forts sont utilisés pour les comptes financiers.
- Cette année, les internautes ont adoré utiliser des mots de passe liés à des jeux en ligne ou à des œuvres de fiction. Par exemple, « Aladdin66 » est classé parmi les 20 premiers à Taïwan, tout comme « Supermario12 » en Autriche. Le mot de passe « gtasanadreas123 » était également populaire au Mexique.
- Les mots faisant référence à un lieu géographique se retrouvent également dans les mots de passe. Les internautes optent souvent pour des noms de pays ou de villes, tels que « Schweiz15 » et « barcelona ».
- Près d’un tiers (31 %) des mots de passe les plus populaires au monde* consistent en des séquences purement numériques, comme le vainqueur mondial de cette année, « 123456 ».
- Au lieu d’améliorer leurs habitudes de création de mots de passe, les internautes ont pris une autre direction en s’en tenant à des mots de passe pré-configurés. Invisible l’année dernière, le mot « admin » a fait sa grande entrée dans la liste mondiale de cette année et s’est assuré la deuxième place.
- Pas moins de 70 % des mots de passe figurant sur la liste mondiale de cette année peuvent être déchiffrés en moins d’une seconde.
Les comptes de streaming sont protégés par les mots de passe les plus faibles
L’étude a également révélé les types de mots de passe utilisés pour différentes plateformes et si la force de ces mots de passe varie d’un service à l’autre.
Les mots de passe les plus faibles sont utilisés pour protéger les comptes de streaming. D’après Tomas Smalakys, directeur technique (CTO) chez NordPass, cette tendance pourrait être associée à la gestion commune de comptes partagés et à l’utilisation de mots de passe faciles à mémoriser pour des raisons de praticité.
Sans surprise, les gens accordent plus d’attention aux comptes qu’ils associent directement à l’argent. C’est pourquoi ils utilisent les mots de passe les plus robustes pour leurs services financiers.
Les pirates ciblent les mots de passe enregistrés sur les navigateurs
Pour connaître les mots de passe utilisés par les internautes sur différentes plateformes, les chercheurs ont analysé une base de données de 6,6 To de mots de passe, exposée par divers logiciels malveillants de type « stealer », que les experts considèrent comme une menace considérable pour la cybersécurité.
Les attaques de logiciels malveillants sont particulièrement dangereuses, car les registres des logiciels malveillants contiennent une grande quantité d’informations sur la victime. Par exemple, les malwares peuvent voler des informations enregistrées dans vos navigateurs, telles que les mots de passe et autres informations d’identification, les cookies des sites web, ou encore les données de remplissage automatique. Ils peuvent également voler des fichiers sur l’ordinateur de la victime, ainsi que des informations sur le système, telles que la version du système d’exploitation ou l’adresse IP.
« Le plus effrayant, c’est que les victimes peuvent ne même pas se rendre compte que leur ordinateur est infecté. Les acteurs malveillants ont tendance à dissimuler les logiciels malveillants dans des e-mails de phishing bien conçus, en imitant une organisation légitime, comme votre banque ou votre entreprise », explique Smalakys.
L’avenir des mots de passe
Au cours des cinq années pendant lesquelles NordPass a mené cette étude, « 123456 » a été le mot de passe le plus utilisé à quatre reprises. Selon M. Smalakys, il s’agit d’un signe évident qu’il est essentiel de faire évoluer les méthodes d’authentification.
Les clés d’accès (passkeys) sont une nouvelle forme d’authentification. L’essence de cette technologie est que l’utilisateur n’a pas besoin de créer un mot de passe : tout se fait automatiquement. Lorsqu’il rejoint un site web qui prend en charge les clés d’accès, l’appareil de l’utilisateur génère une paire de clés associées : une clé publique et une clé privée. La clé privée est enregistrée sur l’appareil lui-même, et la clé publique est stockée sur le serveur du site web. L’une sans l’autre, elles sont inutiles. Si l’utilisateur est identifié avec succès par ses données biométriques, les clés sont associées et l’utilisateur s’identifie avec succès.
« Cette technologie contribuera à éliminer les mots de passe douteux, ce qui renforcera la sécurité des utilisateurs. Toutefois, comme pour toute innovation, l’authentification sans mot de passe ne sera pas adoptée du jour au lendemain. Comme nous sommes parmi les premiers gestionnaires de mots de passe à proposer cette technologie, nous constatons que les utilisateurs sont de plus en plus curieux de la tester. Cependant, il reste encore beaucoup de travail à faire et la sécurité des mots de passe reste une question d’actualité », déclare M. Smalakys.
Conseils pour une gestion sécurisée de vos identifiants
Tandis que les clés d’accès se démocratisent progressivement, de bonnes habitudes en matière de mots de passe et de cybersécurité restent primordiales.
-
- Créez des mots de passe longs et complexes. “123456 ne suffit plus”, déclare M. Smalakys. Les mots de passe faciles à deviner équivalent à des portes d’entrée laissées ouvertes. Il recommande donc d’utiliser des mots de passe aléatoires de 20 caractères, comprenant des lettres minuscules et majuscules, des symboles et des chiffres.
- Évitez d’enregistrer vos informations secrètes sur votre navigateur et adoptez un gestionnaire de mots de passe. Les attaques de logiciels malveillants visant les informations d’identification stockées sur les navigateurs, les logiciels de gestion de mots de passe tiers sont considérés comme un choix plus sûr pour le stockage des identifiants.
- Commencez à adopter les clés d’accès (passkeys). De plus en plus de sites web offrent désormais la possibilité d’accéder aux comptes à l’aide de clés d’accès au lieu de mots de passe. Même si les clés d’accès ne remplaceront pas encore complètement les mots de passe, elles représentent sans aucun doute l’avenir de l’authentification.
- Restez vigilant. Pour vous protéger des logiciels malveillants de type « stealer », faites très attention à tout ce que vous téléchargez sur votre ordinateur. Les logiciels malveillants sont souvent diffusés par le biais d’e-mails d’hameçonnage, apprenez donc à les reconnaître.