Quand un (gros) site se fait pirater les mots de passe de ses utilisateurs, et que ces mots de passes sont publiés dans la nature, cela donne la possibilité de faire de belles études statistiques…

L’avantage de la chose est que ce stock de mots de passe permet de les étudier, ce qu’a fait imperva.com, qui publie un rapport édifiant. Et compare les résultats aux recommandations de la Nasa…

La Nasa conseille les utilisateurs…

On savait la National Aeronautics and Space Administration investie d’un certain nombre de missions, mais j’ignorais jusqu’à peu son implication dans la protection des utilisateurs et de leurs mots de passe.

Mais pour résumer, en matière de mot de passe, ses recommandations sont :

• Un mot de passe doit faire 8 caractères minimum
• Il doit mélanger quatre formes de caractères (majuscules, minuscules, chiffres, et symboles tels !@#…)
• Il ne doit pas être un nom propre, un mot du dictionnaire ou d’argot, et ne doit pas contenir une partie de votre nom ou de votre email
• Vous devez être capable de le taper rapidement pour qu’une personne qui regarde par dessus votre épaule ne puisse avoir le temps de le lire
• Il doit être changé tous les 90 jours…

Que ceux qui ne se reconnaissent pas dans la liste lèvent le doigt!

… et les utilisateurs ne le savent pas

On ne connaissait pas non plus Imperia ADC, mais c’est une organisation de recherche pour l’analyse de la sécurité, la découverte de la vulnérabilité… Ils ont donc récupéré la fameuse liste des mots de passe de Rock You, et fait quelques comparaisons avec la liste de la Nasa, sur les 3 premiers points.

Sur la longueur, 49,4% des utilisateurs ont des mots de moins de 8 caractères (mais RockYou impose 5 minimum ce qui fausse la mesure). Les plus longs faisant 13 caractères.

Les quatre formes de caractères sont effectivement présentes, mais souvent à titre individuel. Soit majuscules seules (1,62%), minuscules seules (41,69%), nombres seuls (15,94%), donc 59,25% ne sont pas du tout aux normes. Saluons à titre amical les 36,94% qui mélangent lettres et nombres. Et un grand bravo aux 3,81% utilisant les caractères spéciaux.

iloveyou princess Nicole

Il est intéressant de voir que 5000 mots de passe sont populaires au point d’être utilisés par 20% des utilisateurs. Et qu’ils sont tirés de noms, mots du dictionnaires, argots ou tout à fait triviaux (nombres qui se suivent, touches du clavier proches…). Le mot le plus commun est 123456, devant 12345, 123456789, Password et iloveyou. Le suivant étant princess, ce qui ajoute une touche de poésie (enfin, j’aime à le croire). S’enchainent rockyou, 1234567, 12345678, abc123 et… Nicole puis Daniel !

Sur les 2 premiers points de la Nasa, nous éliminons déjà 91,8% des utilisateurs qui sont donc hors recommandation…

Là où l’étude devient en partie risible (!) c’est qu’elle souligne le fait que la plupart des abonnés utilisent les mêmes identifiants et mots de passe sur tous leurs comptes. Nous risquons donc d’avoir de nombreuses princess sur Facebook, YouTube, Twitter et j’en passe…