Pourquoi tant de personnes ont comme mot de passe « Dragon »

Chaque année depuis 2011, la société de sécurité SplashData a publié une liste des mots de passe les plus couramment utilisés, basée sur des caches d’informations d’identification de compte piratés. La liste annuelle, destinée à rappeler les mauvaises pratiques de mot de passe d’utilisateurs, inclut toujours des entrées prévisibles comme « abc123 », « 123456 » et « letmein ». Mais une entrée, se classant dans le top 20 chaque année, se démarque depuis le début, il s’agit de « dragon ».

Mais pourquoi ? Est-ce dû à la popularité de l’adaptation télévisuelle de Game of Thrones, qui a été créée la même année que la populaire liste de mots de passe ? Est-ce parce que tant de fans de Dungeons & Dragons ont eu leurs comptes pwned ? Eh bien, peut-être, en partie. Mais l’explication la plus convaincante est plus simple que vous ne le pensez.

Le phénomène « dragon » ne semble pas être une bizarrerie de la méthodologie d’analyse de mot de passe de SplashData. La créature a pris la 10ème place l’an dernier sur une autre liste de mots de passe, cette fois créée par la plateforme WordPress WP Engine, en utilisant les données compilées par le consultant en sécurité Mark Burnett. Dragon n’apparaît pas sur une liste créée par Keeper Security en 2016, mais celle-ci prend en compte les comptes probablement créés par des bots. Et les 100 meilleurs mots de passe sont restés relativement stables au cours des années, excluant largement un pic de Game of Thrones.

« J’ai énuméré dans mon livre des centaines de mots de passe qui contiennent le mot dragon », dit Burnett, dont les mots de passe parfaits sont sortis en 2005. « Les gens basent souvent leurs mots de passe sur quelque chose qui est important pour eux. Et entre D & D, Skyrim et Game of Thrones, les dragons ont joué un grand rôle dans notre culture. »

« Une des choses que nous avons vues est que les gens ont tendance à créer des mots de passe sur les choses qu’ils aiment. « 
Lorrie Cranor, Université Carnegie Mellon

La façon dont les chercheurs examinent les données de mot de passe peut également contribuer à la popularité du dragon. Alors que des dizaines de milliers de personnes l’utilisent probablement, le type de données de mot de passe auxquelles les chercheurs ont accès comporte des biais inhérents. Les universitaires ne peuvent pas appeler une entreprise et lui demander de remettre les mots de passe des clients, de sorte qu’ils s’appuient plutôt sur des informations d’identification piratées et divulguées au public.

Cela signifie souvent que les sites ont une sécurité globale médiocre et des exigences de mot de passe faibles. « Les sites qui ont les politiques de mot de passe les plus complexes ne fuient pas aussi souvent », explique Lorrie Faith Cranor, informaticienne à l’université Carnegie Mellon, qui étudie la création de mots de passe dans son laboratoire depuis plus de huit ans. « Dragon » pourrait être disproportionnellement populaire parce que les sites piratés sont moins susceptibles d’obliger les utilisateurs à inclure, disons, un nombre ou un caractère spécial dans leur mot de passe.

Le type de site dont provient un jeu de données de mot de passe peut également fausser les résultats. WP Engine a examiné 5 millions de mots de passe censés être associés à des comptes Gmail, par exemple. L’entreprise a examiné les adresses électroniques associées et a tenté d’estimer le sexe et l’âge des personnes qui les ont créées. Par exemple, « JohnDoe84@gmail.com » serait supposé être un homme né en 1984. En utilisant cette méthode, les chercheurs ont constaté que l’ensemble de données faussait les hommes, et vers les personnes nées dans les années 1980. C’est probablement parce que beaucoup d’informations d’identification proviennent d’eHarmony et d’un site de contenu pour adultes.

Vous pouvez imaginer comment, dans un ensemble de données comme celui-ci, « dragon » pourrait théoriquement apparaître plus souvent, étant donné que le Seigneur des Anneaux, Donjons & Dragons, et Game of Thrones sont relativement populaires parmi les hommes de leur début à la trentaine .

D’autres types de biais de données de mot de passe peuvent être plus évidents. En 2014 par exemple, Burnett a aidé SplashData à compiler sa liste annuelle de mots de passe communs. Quand il a couru les premiers numéros, il a remarqué que « lonen0 » est apparu incroyablement haut sur la liste, prenant la septième place. Cela ne s’est pas produit parce que des dizaines de milliers de personnes ont soudainement pensé à la phrase, mais parce que c’était le mot de passe par défaut pour une société belge appelée EASYPAY GROUP, qui avait subi un piratage. Dix pour cent des utilisateurs n’avaient tout simplement pas réussi à changer le mot de passe par défaut.

Une autre raison pour laquelle « dragon » semble si populaire, avec d’autres mots de passe comme « 123456 », c’est qu’ils sont incroyablement faciles à démasquer. Les entreprises « hachent » souvent les informations d’identification qu’elles stockent, donc dans le cas où un pirate les obtiendrait, elles sont plus difficiles d’accès qu’elles ne le seraient si elles étaient simplement en train de s’asseoir en clair. Les données hachées sont mathématiquement masquées pour ressembler à des chaînes aléatoires de caractères que les humains ne peuvent pas analyser. Certains schémas de hachage ont des faiblesses qui permettent aux pirates de les casser, mais même si les pirates ne peuvent pas exposer chaque mot de passe, ils peuvent toujours exécuter des scripts pour trouver les hachages les plus courants. « Ils utilisent d’abord des programmes informatiques qui utilisent les mots de passe les plus populaires », explique Cranor.

Les gens choisissent des mots de passe comme « dragon » pour la même raison qu’ils utilisent des noms communs.

Malgré des biais potentiels, des chercheurs comme Cranor et Burnett prennent le temps de construire leurs databas

Malgré des biais potentiels, des chercheurs comme Cranor et Burnett prennent le temps de construire leurs bases de données aussi soigneusement que possible. À ce stade, tant de sites Web ont été violés qu’ils ont des ensembles de données très robustes à analyser. Pourtant, selon M. Burnett, déterminer les mots de passe les plus couramment utilisés sur le Web ne peut probablement pas être considéré comme une véritable science, en raison des biais et du manque de contrôles.

La recherche de Cranor a montré que les gens choisissent des mots de passe comme «dragon» pour la même raison qu’ils utilisent des noms communs, comme Michael et Jennifer, ou des activités bien-aimées, comme le baseball. « L’une des choses que nous avons vues est que les gens ont tendance à créer des mots de passe à propos des choses qu’ils aiment », explique Cranor. « iloveyou’ est l’un des mots de passe les plus courants, dans toutes les langues. »

Dans sa recherche, Cranor s’est également demandé pourquoi tant de gens gravitent spécifiquement vers les animaux et les créatures mythiques en créant des mots de passe en particulier « singe », qui, comme le dragon, se classe toujours très bien. Au cours d’une étude qu’elle a menée, Cranor a demandé aux participants qui ont choisi le primate d’expliquer pourquoi ils l’avaient choisi.

« Fondamentalement, les gens ont dit qu’ils aiment les singes, les singes sont mignons », dit Cranor. « Certaines personnes ont dit qu’ils avaient un animal de compagnie nommé singe, ils avaient un ami dont le surnom était singe, tout était très positif. »

Il s’avère que beaucoup de gens ont choisi le dragon pour des raisons similaires. « J’ai commencé avec » dragon « au début des années 90, et il s’est transformé au fil du temps », a expliqué une personne qui utilise ce mot de passe à WIRED. « L’inspiration pour cela était un mélange d’avoir joué à Dungeons & Dragons pendant 10 ans à l’époque et d’avoir juste installé Legend of the Red Dragon. » (On leur a accordé l’anonymat pour des raisons évidentes liées au mot de passe.)

« Les mots de passe, m’a-t-on dit, étaient supposés rendre difficile l’accès à vos comptes pour les autres, et les dragons sont grands et effrayants et moins communs dans la vraie vie que les ours », a déclaré un autre utilisateur. « Il est vrai que j’utilisais surtout des forums et des jeux très ringards. »

Parfois, cependant, la raison pour laquelle vous choisissez « dragon » comme mot de passe est juste parce que vous êtes jeune et les dragons sont, eh bien, vraiment cool. Comme l’a dit un fan de dragon : « J’avais 13 ans à l’époque. »

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage