Près d’un mot de passe sur 200 est toujours “123456”.
Digital Shadows, spécialisé dans les menaces et la protection contre les menaces numériques, a publié une nouvelle étude. Ce dernier quantifie la portée de l’engagement de mot de passe dans le monde entier.
Selon les chiffres, plus de 24 milliards de combinaisons de noms d’utilisateur et de mots de passe circulent sur les marchés de la cybercriminalité, y compris le dark web. A titre d’illustration, cela équivaut à près de quatre pour chaque habitant de la planète. « Ce chiffre représente une augmentation de 65 % par rapport à un rapport précédent en 2020 », compare Digital Shadows.
Un marché en plein essor
“Nous nous dirigeons vers un avenir sans mot de passe, mais pour le moment, le problème des informations d’identification brisées est hors de contrôle”, a déclaré Chris Morgan, analyste principal du renseignement sur les cybermenaces chez Digital Shadow. Les cybercriminels sont parmi les endroits les plus courants où les pirates publient et vendent des informations d’identification volées. En fait, à l’instar de la gamme et de la sophistication des logiciels malveillants, cet écosystème criminel n’a cessé de croître au cours des deux dernières années.
Attention, dans ces forums, certaines combinaisons apparaissent plusieurs fois, ce qui a pour effet de gonfler les chiffres du rapport. Mais, “même après avoir supprimé les doublons”, Digital Shadows a constaté qu'”il existe 6,7 milliards d’identifiants uniques, soit une augmentation d’environ 1,7 milliard ou 34% en deux ans”. Sur ces 6,7 milliards, beaucoup pourraient être sauvés si les utilisateurs optaient pour des mots de passe plus forts et ne partageaient pas leurs informations d’identification entre différents comptes.
Mots de passe trop faibles
Ce qui ressort de ce rapport est le fait que les consommateurs continuent d’utiliser des mots de passe « faciles à deviner ». En fait, “les criminels ont une liste interminable d’informations d’identification qu’ils peuvent prouver, mais ce problème est exacerbé par des mots de passe faibles”, explique Chris Morgan. “Ce qui signifie que de nombreux comptes peuvent être devinés en quelques secondes avec des outils automatisés”, ajoute-t-il.
Selon Digital Shadows, les 50 mots de passe les plus courants utilisent simplement le mot « mot de passe » ou une combinaison évidente de chiffres. Ainsi, environ 0,46 %, soit près d’un sur 200, est simplement “123456”. Les combinaisons de clavier telles que “qwerty” ou “1q2w3e”, qui sont couramment utilisées, doivent également être interdites. En bref, “sur les 50 mots de passe les plus utilisés, 49 peuvent être ‘crackés’ en moins d’une seconde à l’aide d’outils faciles à utiliser disponibles dans les forums criminels et souvent gratuits ou à un coût minime”, prévient Digital Shadows.
Adopter des caractères spéciaux
L’ajout d’un “caractère spécial” à un mot de passe de base à 10 caractères ajoute environ 90 minutes à la durée d’une attaque. Par exemple, si l’utilisateur ajoute deux caractères spéciaux, le temps de craquage hors ligne est d’environ 2 jours et 4 heures, illustre le rapport. Bien qu’ils sachent que les cybercriminels attaquent davantage de comptes plus faciles à pirater. C’est-à-dire composé de séquences évidentes ou simplement de chiffres et de lettres.
Par “caractère spécial”, nous entendons “tout ce qui n’est ni une lettre ni un chiffre”. Par conséquent, “@”, “!”, “#” ou même “-“.
Conseils de rapport
Face à ces chiffres, Digital Shadows donne trois conseils. Tout d’abord, utilisez un gestionnaire de mots de passe. Il s’agit d’une application qui stocke les mots de passe. Ainsi, le propriétaire n’a pas besoin de les mémoriser et ils peuvent être plus complexes, et donc plus protégés.
Les applications d’authentification sont également une solution. Ils génèrent un nouveau code aléatoire à six chiffres toutes les 30 secondes. L’utilisateur doit le saisir sur le site Web sur lequel il tente de s’authentifier. Aucun mot de passe requis ici. L’authentification multifacteur (MFA) est également un obstacle supplémentaire. Il aide à confirmer l’identité du propriétaire des données ou du compte “et peut remplacer les mots de passe à l’aide de codes PIN, de reconnaissance faciale, d’empreintes digitales ou en insérant une clé USB”, indique le rapport.
_Suivez Geeko sur Facebook, Youtube et Instagram pour ne rien rater de l’actualité, des tests et des astuces.