Votre mot de passe est facile à pirater !

La vie moderne exige de nous une série apparemment infinie de choix triviaux, dont la moindre n’est pas l’obligation de créer un mot de passe pour votre compte web de cent-et-unième.

Qui peut être dérangé pour créer et mémoriser encore un bolus sinueux de charabia alphanumérique ? Pas beaucoup d’entre nous, semble-t-il. Selon un nouveau rapport de Splashdata, le mot de passe le plus courant en 2017 était « 123456 », suivi de près par ce vieux mot de passe fidèle, « password », qu’il est charmant de voir encore si populairement déployé.

Est-ce la paresse pure, le manque d’éducation à la sécurité ou autre chose ?

Certains des autres mots de passe populaires sur la liste de Splashdata (extraits principalement d’une énorme fuite des détails des clients Adobe) commencent à peindre un portrait intrigant de l’identité numérique collective. N’est-il pas réconfortant de voir « iloveyou » au n ° 9 ? (À moins que les gens ne le tapent pour eux-mêmes, ce qui impliquerait qu’une utilisation intensive d’Internet vous transforme en un narcissique mousseux). Au n ° 14 est « letmein », qu’on ne peut s’empêcher d’entendre comme contenant un « goddammit » implicite à la fin. (Il nous rappelle aussi qu’un mot de passe a été prononcé à l’origine pour obtenir l’accès à des parties sécurisées d’un palais ou d’une installation militaire). Un peu étonnant, le No 17 est singe, soit par admiration générale pour nos cousins ​​simiens, soit insoupçonnés jusqu’ici. La popularité croissante du spectacle de kung-fu des années 1970 est difficile à dire.
À 24 sur la liste, vraisemblablement contribué par beaucoup de fans de The X-Files, est « trustno1 ».

Mais cela semble un peu contradictoire. Si vous étiez vraiment un passionné de science-fiction paranoïaque qui croyait que le gouvernement était dirigé par des extraterrestres, ne choisiriez-vous pas un mot de passe plus fort ? D’un autre côté, si c’est le gouvernement qui s’en prend particulièrement à vous, vous allez suspecter que les mots de passe ne sont pas pertinents, puisque nous savons maintenant que la NSA et le GCHQ peuvent pirater n’importe quoi.

Mais les espions ne sont pas les seuls à regarder. En effet, il y a aussi des cyber-gangs qui montent des attaques sophistiquées sur des sites Web afin de trouver des informations d’identification, des informations sur les cartes de crédit, etc. Pourquoi leur rendre la tâche facile ? Tom Stafford, professeur de psychologie et de sciences cognitives à l’Université de Sheffield, déclare: « La plupart des gens semblent croire qu’il y a peu de risque d’avoir des mots de passe faibles, la plupart d’entre nous semblent compter sur la sécurité par l’obscurité. » un choix judicieux comme de plus en plus de nos vies sont en ligne.

De plus, on sait depuis longtemps que même lorsque les gens sont encouragés à choisir un mot de passe plus fort que « 123456 » ou « admin », ils tendent à tomber dans des schémas prévisibles. Selon une étude réalisée en 2006 par Shannon Riley sur la psychologie de la génération de mots de passe, les utilisateurs utilisent généralement les dates de naissance, les dates anniversaires, les numéros de téléphone, les numéros de plaque d’immatriculation, les numéros de sécurité sociale, etc. dérivée de zones prévisibles et d’intérêts dans la vie de la personne et pourrait être devinée par la connaissance de base de ses intérêts. D’où tous les détectives de la télévision qui devinent avec brio que le mot de passe du portable du suspect est le nom de son chien.

Nous devrions hésiter à interpréter ces résultats comme montrant que les utilisateurs ordinaires d’Internet sont simplement stupides, cependant. Splashdata, la société qui a compilé cette liste, vend un logiciel de gestion de mot de passe, il est donc compréhensible que la leçon qu’elle tire de ses conclusions est que les gens devraient choisir des mots de passe plus forts, peut-être avec l’aide de ses propres produits. Alors pourquoi pas eux ?

Une raison pourrait être que, puisque nous pensons tous que certains de nos comptes (par exemple, bancaires, Facebook) sont plus importants que d’autres (un Tumblr qui vous envoie une photo d’un chaton tous les matins), nous pensons que cela n’a pas d’importance si nous utilisons des mots de passe faibles pour ce dernier. Mais c’est risqué car cela signifie que ces services deviennent une cible importante pour les pirates, comme l’a fait Adobe. En effet, l’augmentation de l’authentification à deux facteurs où vous avez besoin à la fois d’un mot de passe et d’un code unique généré par votre smartphone pour vous connecter commence à faciliter le problème des mots de passe. Ce sont donc ces comptes « jetables » qui sont vraiment dangereux. De plus, selon une étude réalisée en 2010 par Joseph Bonneau et Sören Preibusch, de nombreux sites utilisent des mots de passe principalement pour des raisons psychologiques, à la fois pour justifier la collecte de données marketing et pour établir des relations de confiance. Avec les clients en d’autres termes, la demande de mot de passe est un placebo commercialement motivé pour commencer.

La deuxième raison pour laquelle les gens pourraient être amenés à choisir des mots de passe aussi faibles quand ils peuvent s’en tirer est que la façon dont la technologie essaie de nous sauver de nous-mêmes est si irritante. Vous connaissez l’exercice sur certains sites Web : votre mot de passe doit comporter entre huit et douze caractères et contenir un mélange de lettres majuscules et minuscules, ainsi que des chiffres, des signes de ponctuation, des symboles monétaires… Il est peu probable que vous vous souveniez de l’un de ceux-ci, encore moins des dizaines.

Stafford dit: « Pour moi, les mots de passe sont un bon exemple de la technologie qui nous demande de ressembler davantage à des ordinateurs qu’à des ordinateurs qui apprennent à nous ressembler: les mots de passe recommandés sont des chaînes arbitraires de chiffres et de chaînes. Pour les ordinateurs de stocker et difficile pour les humains. C’est la réserve des premiers rêves de l’intelligence artificielle, demandant à notre intelligence d’être plus comme l’artificiel. »

En l’occurrence, c’est aussi simplement une mauvaise sécurité. Au point de vue mathématique, une expression pittoresque telle que « citron Beyoncé enclume gâteau » est beaucoup plus difficile à casser que « j &! Wo078: (((« , parce que chaque caractère supplémentaire de la longueur du mot de passe étend les possibilités combinatoires de façon vertigineuse. C’est bien connu des fans du web-comic XKCD, qui a expliqué pourquoi une tentative de brute-force pour pirater le mot de passe « batterie de cheval correcte » prendrait un ordinateur rapide 550 ans. La blague de geek est que, puisque ce dessin animé est apparu, le mot de passe de tout le monde est maintenant « agrafe de batterie de cheval correcte.

Le remplacement en gros de mots de passe textuels par des biométriques fiables (tels que les scanners d’empreintes digitales) est l’une de ces promesses technologiques qui existent depuis des décennies et qui n’ont pas encore abouti malgré le capteur d’empreintes digitales du nouvel iPhone. En attendant, j’aime à penser aux millions de personnes qui choisissent le mot de passe pour leur mot de passe comme une sorte de mouvement dissident silencieux, une vague virtuelle de protestation sardonique contre les multiples ennuis laborieux de l’existence numérique.

Si vous doutez qu’un simple mot de passe puisse être sarcastique, pensez au numéro 25 de la liste la plus populaire, « 000000 », qui a un curieux analogue historique. À la fin des années 1970, selon le livre récent d’Eric Schlosser sur la sécurité nucléaire, Command and Control, il fut décidé que les missiles nucléaires Minuteman de l’armée de l’air américaine devaient tous être munis d’un code avant leur lancement. Dans ce que Schlosser appelle un « acte de défiance » contre les soucis de sécurité, l’USAF a mis le mot de passe à « 00000000 » partout. Je ne sais pas pour vous, mais cela met la possibilité qu’un compte Twitter soit piraté dans une sorte de perspective.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage