Mots de passe : les mauvaises pratiques qui persistent en entreprise

Ce rapport analyse les mots de passe compromis et tire des conclusions sur les mauvaises pratiques qui peuvent nuire à la sécurité des entreprises.

472 répondants sur 2000 employés interrogés continuent d'écrire leurs mots de passe professionnels sur un bout de papier. © Vitalii Vodolazskyi - stock.adobe.com

Sommaire

Specops Software, filiale d’Outpost 24 spécialisée dans la gestion de mots de passe et d’authentification, dévoile un rapport qui concerne les mots de passe faibles. L’étude examine à la fois l’aspect humain et l’aspect technique des mots de passe afin d’expliquer pourquoi ils constituent le maillon le plus faible du réseau d’une entreprise. Cette enquête s’appuie sur l’analyse de 800 millions de mots de passe piratés, un sous-ensemble des plus de 2 milliards de mots de passe piratés figurant sur la liste Specops Breached Password Protection.

La longueur d’un mot de passe ne signifie pas qu’il est assez sécurisé

L’une des pratiques les plus répandues est d’exiger un mot de passe composé de 8 caractères minimum. Cette pratique s’appuie sur l’idée qu’un mot de passe plus long nécessite plus de ressources de calcul pour être déchiffré. Pourtant, selon le rapport réalisé par Specops, 93% des mots de passe utilisés dans les attaques par force brute comprennent 8 caractères ou plus.

specops-mots-de-passe-compromis-8-caracteres — © Specops Software

Alors que les organisations sont nombreuses à exiger des mots de passe de 12 caractères minimum, cette pratique ne garantit pas une sécurité optimale. Ainsi, l’étude souligne que 41 % des mots de passe utilisés dans des attaques réelles comportent 12 caractères ou plus. De la même manière, le rapport affirme que 68 % des mots de passe utilisés dans des attaques réelles comprennent au moins deux types de caractères.

Pour montrer que les mots de passe déchiffrés peuvent être complexes, Specops établit également un classement des 10 mots de passe de 12 caractères utilisés dans des attaques par force brute :

^_^$$wanniMaBI:: 1433 vl
almalinux8svm
dbname=template0
shabixuege!@#
P@$$W0rd0123
P@ssw0rd5tgb
adminbigdata
Pa$$w0rdp!@#
adm1nistrator1
administrator!@#$

specops-mots-de-passe-compromis-12-caracteres — © Specops Software

Les mots de passe compromis s’inspirent souvent des saisons ou de la pop culture

Les observations faites par Specops montrent la difficulté des utilisateurs à trouver des mots de passe. Ceux-ci se tournent souvent vers les saisons ou vers des films et saga issus de la pop culture, selon les mots de passe compromis qui sont mis en exergue dans le rapport. Ainsi, l’étude note que 42 % des mots de passe saisonniers divulgués contenaient le mot « summer ».

specops-mots-de-passe-compromis-saisons — © Specops Software

Parmi les mots de passe inspirés de films, « Rocky » se classe numéro 1 apparaissant dans le liste de mots de passe compromis près de 96 000 fois, suivi de « Hook » avec 75 000 occurrences et « Matrix » présent dans 50 000 mots de passe. La saga Star Wars est également une source d’inspiration pour nombre de mots de passe qui ont été compromis. Ainsi, « yoda » est apparu dans 37 000 mots de passe divulgués, suivi de « starwars » avec 22 000 occurrences et « ewok » présent 17 000 fois.

specops-mots-de-passe-starwars — © Specops Software

Specops dévoile également que les mots de passe en rapport avec des musiciens, des équipes de baseball ou encore des clubs de ligue 1 sont très communs.

Les mauvaises pratiques qui mettent en péril la sécurité des entreprises

En s’appuyant sur les témoignages de 2000 employés de bureau, Specops dévoile que 54 % d’entre eux adoptent des pratiques peu sécurisées pour leurs mots de passe. Parmi les mauvaises pratiques des utilisateurs, on retrouve :

Écrire le(s) mot(s) de passe d’entreprise sur un bout de papier (472 répondants),
Réutiliser plusieurs fois le même mot de passe ou des variations de celui-ci (361 répondants),
Stocker les mots de passe dans un fichier sur un ordinateur (325 répondants).

specops-how-remember-passwords — © Specops Software

48 % des interrogés affirment devoir mémoriser 11 mots de passe ou plus dans le cadre professionnel. L’étude souligne que l’obligation de retenir autant de mots de passe ne peut qu’encourager des mauvaises pratiques telles que la recyclage de mots de passe. Face à cette problématique pourtant, 54 % des entreprises ne disposent pas d’un gestionnaire de mots de passe professionnel. Ces outils permettent à la fois de mémoriser les mots de passe les plus complexes, mais aussi d’en générer automatiquement, d’évaluer le niveau de sécurité d’un mot de passe ou encore d’alerter pour en changer régulièrement.