"Moins d’une minute": près de la moitié des mots de passe rapidement devinables, selon une étude

"12345", "password"... Souvent utilisés, ces mots de passe peuvent être facilement et rapidement devinés. C’est ce que révèle l’entreprise russe de cybersécurité Kaspersky dans une nouvelle étude. Ayant analysé 193 millions de mots de passe trouvés sur le dark web, elle indique que 87 millions de ces derniers, soit 45%, peuvent être devinés en moins d’une minute par des hackers.

27 millions (14%) peuvent en outre être compromis entre 1 minute et une heure, rapporte l’entreprise, déplorant que seulement 8 millions (4%) prennent entre un mois et un an pour être devinés par des pirates informatiques et 44 millions (23%) prendraient plus d’un an.

Des mots de passe pas assez robustes

L’entreprise pointe également un autre problème dans son étude: le fait que 57% des mots de passe contiennent un mot du dictionnaire, réduisant ainsi considérablement leur robustesse. Parmi ceux-ci, figurent des mots de passe classiques comme "admin", des noms tels que "daniel" ou "kumar", ainsi que des mots populaires comme "google", "love" ou encore "hacker".

Au total, seuls 19% des 193 millions de mots de passe "contiennent les signes d’une combinaison forte", a souligné Kaspersky. Autrement dit, ils ne contiennent pas de mots du dictionnaire, pas de lettres minuscules et majuscules ni de chiffres ou de symboles. Malgré leur robustesse, 39% de ces derniers peuvent être devinés en moins d’une heure avec des algorithmes intelligents.

Algorithmes intelligents et attaque par force brute

Selon Kaspersky, les attaquants n’ont d’ailleurs pas besoin d’équipements coûteux ou de connaissances approfondies pour déchiffrer les mots de passe. Ils peuvent par exemple le faire avec des algorithmes intelligents qui prennent en compte les remplacements de caractères, comme le "e" par le "3", et les mots souvent utilisés comme "qwerty" ou "12345".

Ils peuvent également se servir d’un ordinateur doté d’un puissant processeur, qui pourrait trouver en seulement sept minutes la bonne combinaison pour un mot de passe composé de 8 lettres minuscules ou chiffres. Cela, à l’aide d’une attaque par force brute, méthode consistant à tester, l’une après l’autre, chaque combinaison possible d’un mot de passe lié à un identifiant.

Face à ces constats, Kaspersky recommande d’utiliser un gestionnaire de mots de passe pour disposer d’un mot de passe totalement aléatoire. Estimant qu’il s’agit de "la solution la plus fiable", l’entreprise conseille aussi, comme beaucoup d’autres, d’utiliser un mot de passe différent pour chaque service ou encore d’activer l’authentification à deux facteurs pour se protéger.