Les DSI doivent éduquer les utilisateurs à choisir de "bons" mots de passe
Les mots de passe restent encore trop prédictibles selon une étude menée à partir d'un fichier dérobé sur un site populaire et diffusé.
PublicitéLes spécialistes de la sécurité le répètent à l'envi : l'homme est la première source de vulnérabilité d'un système informatique. L'analyse réalisée par la blogueur Robert Graham sur les 20 000 mots de passe dérobés et publiés suite au piratage du site phpbb.com en constitue une nouvelle illustration. Alors que les bonnes pratiques recommandent d'associer lettres et chiffres dans un mot de passe, le tiers des utilisateurs du site Web se contentent ainsi d'un mot issu d'un dictionnaire. Parmi eux, la grande majorité choisit un terme simple, désignant un fruit ou une couleur par exemple, plutôt qu'un concept abstrait ou un vocable à l'orthographe délicate. Plus évident encore, 16% des mots de passe sont des prénoms, un choix qui facilite la tâche des pirates désirant accéder au compte d'un utilisateur dont ils connaissent l'identité. D'autant que, selon Robert Graham, la plupart des prénoms trouvées dans la liste des mots de passe subtilisés sont très répandus (Thomas, Michael, Charlie), ce qui accrédite l'idée que les utilisateurs ont recours à leur propre prénom, ou à ceux de personnages célèbres ou de proches. Dans le top 5, on trouve '123456' et 'qwerty' Pour 14% des utilisateurs, le mot de passe est composé d'une suite de touches adjacentes du clavier. Là encore, par son caractère prédictible, ce choix affaiblit la sécurité. Dans le top 5, figurent ainsi '123456', 'qwerty' et '12345'. On retrouve aussi des combinaisons d'apparence plus rusée ('1a2z3e' ou '1aqw2zsx', deux codes « exprimés en azerty ») qui, par leur fréquence, n'en constituent pas moins une piètre protection. Enfin, aux côtés des 4% d'utilisateurs qui optent pour le terme 'password' ou une anagramme, le top 2 de la liste des mots de passe des visiteurs inscrits sur phpbb.com est occupé par 'phpbb'.
Article rédigé par
Vincent Delfau
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire