Microsoft vient de publier les premiers résultats de son projet d’ honeypotLe honeypot est un piège à pirates ou pot de miel. Serveur ou programme volontairement vulnérable, destiné à attirer et à piéger les pirates. Situé devant ou derrière un pare-feu, cet appât fait croire aux intrus qu'ils se trouvent sur une machine de...
Premier mot de passe à éviter ou changer d’urgence “password“.
Le centre de sécurité de microsoft, ” le Malware Protection Center “, a compilé les statistiques des attaques exécutées contre son serveurOrdinateur contenant des ressources (données et applications) à la disposition d’autres ordinateurs par l’intermédiaire d’un réseau. (Architecture client/serveur). FTPFile Transfert Protocol ou protocole de transfert de fichier utilisé sur internet. Ce protocole décrit le processus qui permet de placer toutes sortes de fichiers sur un serveur, à disposition du public ou d'un groupe privé d' utilisateurs. factice (un honeypotLe honeypot est un piège à pirates ou pot de miel. Serveur ou programme volontairement vulnérable, destiné à attirer et à piéger les pirates. Situé devant ou derrière un pare-feu, cet appât fait croire aux intrus qu'ils se trouvent sur une machine de...).
L’éditeur s’est concentré sur les attaques automatisées par dictionnaires dont la finalité est de trouver un mot de passe ou une cléChaîne de caractères ou nombre (algorithme de chiffrement symétrique) qui permet de crypter ou de décrypter un document. d’accès à un service.
Le pirate teste pour cela, de manière automatisée, différents mots de passe, en fait des mots tirés de dictionnaires.
Il en ressort (sur une analyse de 400.000 combinaisons de mots de passe et d’identifiants) que le nom d’utilisateur testé fait en moyenne 6 caractères (jusqu’15 pour le plus long), tandis que le mot de passe comporte lui en moyenne 8 caractères (29 pour le plus long).
La longueur du mot de passe n’est pas une sécurité suffisante
Ces chiffres n’ont en soi rien de surprenants.
Huit, c’est en effet le nombre moyen de caractères effectivement utilisé par les utilisateurs dans l’élaboration de leur mot de passe.
Globalement, un mot de passe excédera rarement 10 caractères.
Or, ces mots de passe seraient semble-t-il les plus vulnérables à des attaques, surtout si ceux-ci sont tirés d’un dictionnaire.
C’est pourquoi, l’ ANSI (Agence nationale de la sécurité des systèmes d’information), recommande notamment d’utiliser au minimum 10 caractères (d’au moins trois groupes différents de caractères).
Les mots de passe et identifiants les plus souvent utilisés dans ces attaques sont tous très communs et ne doivent en aucun cas être adoptés.
En fait, dans la plupart des cas, ce sont des paramétres par défaut et qui n’ont jamais été changés par les utilisateurs.
Top 10 avec des noms d’utilisateurs les plus communs utilisés dans les attaques automatiques
Top10 similaire pour les mots de passe:
Microsoft déconseille, même en mémoire de la vedette défunte, de retenir “Michael” comme mot de passe.
L’ ANSI rappelle sur son site qu’un mot de passe doit donc comporter au moins 10 caractères, et être constitué de minuscules, de majuscules, de caractères spéciaux et de chiffres (au moins trois de ces quatre catégories).
Il est donc largement préférable d’utiliser p@$$w0rd plutôt que password…
Les internautes peuvent tester la robustesse de leur mot de passe, notamment, sur le site Password Checker .