News
Etude par Specops : La longueur des mots de passe garantit-elle une protection optimale ?
septembre 2023 par Specops Software
L’équipe de recherche de Specops présente sa nouvelle étude explorant le lien entre la longueur des mots de passe et leur sécurité. Bien que la tendance actuelle incline vers des mots de passe plus longs, ces nouveaux résultats montrent que la longueur seule n’est pas une garantie suffisante contre les attaques.
Données saillantes de l’étude :
– Sur 800 millions de mots de passe qui ont été compromis, la longueur moyenne de ces derniers était inférieure à 12 caractères
– 85% des mots de passe compromis ont moins de 12 caractères
– 8 caractères : Avec un total impressionnant de 212,5 millions de mots de passe compromis, cette longueur est la plus couramment piratée. Il est probable que ce nombre élevé s’explique par le fait que 8 caractères est la longueur par défaut des mots de passe dans Active Directory
– Les 3 mots de passe les plus compromis à 8 caractères sont : “password”, “research” et “GGGGGGGG”
Contexte
Avec l’augmentation alarmante des incidents liés à la sécurité des mots de passe, jamais la question de la robustesse des mots de passe n’a été aussi pertinente. Verizon a révélé que 86% des brèches de sécurité étaient dues à des identifiants usurpés, mettant ainsi en évidence l’urgence d’adopter des politiques de mots de passe plus strictes. Noé Mantel, Spécialiste Produit chez Specops Software, commente : "Bien qu’augmenter la longueur d’un mot de passe soit une bonne pratique, cela ne le rend pas invulnérable. Les attaquants sont toujours à la recherche de nouvelles stratégies, et parfois, le comportement des utilisateurs peut compromettre les politiques les plus robustes."
Méthodologie & Résultats
Désireux d’approfondir cette question, Specops a analysé plus de 800 millions de mots de passe qui ont été compromis. Les résultats ont montré que la longueur moyenne de ces mots de passe compromis était inférieure à 12 caractères. Cependant, l’étude a également mis en lumière que les mots de passe considérés comme "longs" (12 caractères ou plus) n’étaient pas à l’abri, avec 121,5 millions d’entre eux ayant subi une attaque.
Le Dilemme du Mot de Passe Long
Un mot de passe plus long n’est pas nécessairement un mot de passe plus sûr. Outre les attaques classiques, ils peuvent être récupérés via le phishing, l’ingénierie sociale ou encore lors de fuites de bases de données mal protégées. La complexité croissante de la gestion des mots de passe pour les utilisateurs, souvent submergés par le nombre d’identifiants à retenir, les conduit parfois à réutiliser les mêmes mots de passe. Une politique de mots de passe solide doit donc non seulement préconiser des mots de passe longs et complexes, mais aussi des outils et des formations pour aider les utilisateurs à maintenir la sécurité.
Longueurs les Plus Courantes des Mots de Passe Compromis
La sécurité numérique est un enjeu majeur à l’ère actuelle de la technologie, et la robustesse des mots de passe est à la première ligne de cette défense. Nos résultats révèlent des tendances intéressantes concernant les longueurs de mots de passe les plus couramment compromis.
Voici ce que nous avons découvert :
• 1. 8 caractères : Avec un total impressionnant de 212,5 millions de mots de passe compromis, cette longueur est la plus couramment piratée. Il est probable que ce nombre élevé s’explique par le fait que 8 caractères est la longueur par défaut des mots de passe dans Active Directory.
2. 10 caractères
3. 9 caractères
4. 11 caractères
5. 12 caractères
6. 13 caractères
7. 14 caractères
8. 15 caractères
Il est clair que, à mesure que la longueur du mot de passe augmente, le nombre total de mots de passe compromis diminue. Cependant, cela ne signifie pas que les chiffres sont négligeables. Même si les mots de passe plus longs peuvent sembler intrinsèquement plus sûrs, ils ne sont pas à l’abri des menaces, et il est crucial de comprendre que la longueur à elle seule ne garantit pas la sécurité.
Ces statistiques soulignent l’importance de combiner la longueur avec d’autres mesures de sécurité, telles que la complexité, la diversité des caractères et la régularité des changements de mots de passe. La sécurité d’un mot de passe est une combinaison de plusieurs facteurs, et s’appuyer uniquement sur la longueur pourrait être une grave erreur.
Nombre de caractères Nombre de mots de passe compromis
>12 121.5 millions
>13 90.3 millions
>14 67.7 millions
>15 45.7 millions
>16 31.1 millions
Mots de Passe Récemment Compromis : Une Analyse
La robustesse d’un mot de passe ne dépend pas seulement de sa longueur, mais aussi de sa complexité et de son unicité. Une étude des mots de passe compromis révèle des tendances alarmantes concernant les choix de mots de passe courants.
Voici les trois mots de passe les plus couramment compromis pour chaque longueur analysée, allant de 8 à 15 caractères :
Nombre de caractères Les 3 mots de passe les plus compromis
8 password
research
GGGGGGGG
9 GGGGGGGGG
anandIGBZ
cleopatra
10 OOOOOOOOOO
GGGGGGGGGG
passwordGG
11 Sym_cskillI
sym_cskillO
FoxracingII
12 sym_cskillOT
sym_cskillOG
sym_cskillOB
13 mcafeeptfcorp
CitrixTargusI
rugbyflankerG
14 hacktheplanetI
trendmicro.com
minecraftI.A.S
15 SY&custskillsIO
Sym_newhireOEIE
sym_newhireOAIE
Il est frappant de constater que des séquences simples comme "GGGGGGGG" apparaissent régulièrement, montrant une tendance chez certains utilisateurs à privilégier la simplicité à la sécurité. Le fait que le mot "password" figure également dans cette liste montre que de nombreux utilisateurs continuent de faire des choix de mots de passe prévisibles.
Cette étude sert de rappel pressant : un mot de passe devrait être à la fois long et complexe. Se contenter de la longueur minimale recommandée et utiliser des séquences simples ou des mots courants expose inutilement les utilisateurs à des risques. Il est crucial de réfléchir sérieusement à la manière dont nous choisissons et gérons nos mots de passe.
Devrions-nous toujours créer des mots de passe plus longs ?
La réponse est claire : absolument. Notre analyse révèle qu’en moyenne, 85% des mots de passe compromis ont moins de 12 caractères. Comme le montre le tableau ci-dessous, il est nettement plus difficile de craquer un mot de passe long. Cependant, comme le souligne le deuxième tableau, augmenter la longueur du mot de passe à elle seule ne devrait pas donner aux organisations un faux sentiment de sécurité. C’est seulement une partie de la bataille pour la sécurité des mots de passe.
Allier longueur et complexité pour une sécurité renforcée
Si nous prenons en compte les données précédentes, une stratégie à deux volets devient évidente :
• Opter pour des mots de passe plus longs : Viser au minimum 12 caractères, mais idéalement plus.
• Incorporer de la complexité : Utilisez une combinaison de lettres majuscules, de lettres minuscules, de chiffres et de symboles. Évitez les mots courants, les noms propres, et les séquences prévisibles.
Enfin, il est crucial de se rappeler qu’aucune stratégie de mot de passe n’est infaillible. Il est essentiel de combiner une politique de mot de passe solide avec d’autres mesures de sécurité, comme l’authentification à deux facteurs, pour offrir une protection maximale.
Une Solution : Specops Password Auditor
Pour aider les entreprises à faire face à ces défis, Specops a mis au point le Password Auditor. Cet outil scanne et évalue la robustesse des mots de passe utilisés au sein d’une organisation. Combiné à Specops Password Policy et Breached Password Protection, les entreprises disposent d’un arsenal complet pour se défendre contre les menaces liées aux mots de passe.
