Flexible Security for Your Peace of Mind
username and password

Des mots de passe plus longs vous protègent-ils contre les compromissions ?

La base de données Specops Breached Password Protection recense désormais plus de 4 milliards de mots de passe uniques compromis.

Nous partageons avec vous les nouvelles conclusions de l’équipe de recherche de Specops concernant la longueur des mots de passe et la façon dont ils peuvent toujours être compromis par les attaquants. Ces résultats coïncident avec le dernier ajout de plus de 10,2 millions de mots de passe au service Specops Breached Password Protection, qui dépasse donc désormais les 4 milliards de mots de passe uniques compromis.

Selon Verizon, 86 % des accès initiaux sont obtenus par les attaquants par le biais d’informations d’identification volées. L’un des moyens de renforcer les mots de passe au sein d’une organisation consiste à les allonger, ce qui les rend plus difficiles à deviner et à craquer par des attaques par force brute et par dictionnaire hybride. Mais l’allongement des mots de passe ne protège pas contre d’autres risques comme le phishing et la réutilisation des mots de passe.

« Des mots de passe plus longs sont préférables », déclare Darren James, Senior Product Manager chez Specops Software . « Et je ne pense pas que ce soit une surprise pour la plupart des équipes informatiques. Cependant, il est important de comprendre que doter les utilisateurs de mots de passe forts et longs n’est pas un moyen infaillible d’éviter la compromission des informations d’identification. Les attaquants peuvent toujours trouver des solutions de contournement – et le comportement des utilisateurs peut réduire à néant une bonne politique de mots de passe. »  

Méthodologie

Nous voulions savoir quelle était la longueur la plus fréquente parmi les mots de passe compromis et combien de mots de passe encore plus longs étaient également crackés. Pour le savoir, l’équipe de recherche de Specops s’est penchée sur la longueur de plus de 800 millions de mots de passe compromis (un sous-ensemble de notre liste plus large Breached Password Protection, qui compte plus de 3 milliards de mots de passe compromis uniques). Dans le cadre de cette étude, nous avons considéré qu’un mot de passe de plus de 12 caractères était long.

Longueur des mots de passe compromis : les résultats

Voici, par ordre décroissant, les huit longueurs les plus courantes retrouvées parmi les mots de passe compromis. Sans surprise, le mot de passe de 8 caractères (212,5 millions de mots de passe compromis comportaient exactement 8 caractères) arrive en tête, probablement parce qu’il s’agit de la longueur de mot de passe par défaut dans Active Directory. On constate également que plus la longueur des caractères augmente, plus le nombre total de mots de passe compromis diminue. Toutefois, cela ne signifie pas qu’il s’agit d’un nombre minime de mots de passe.

  1. 8
  2. 10
  3. 9
  4. 11
  5. 12
  6. 13
  7. 14
  8. 15

Le tableau ci-dessous indique le nombre de mots de passe compromis supérieurs à cinq longueurs données. Si l’on considère que les mots de passe de 12 caractères et plus sont des « mots de passe longs », 121,5 millions de mots de passe compromis étaient longs. Comme vous pouvez le constater, le nombre de mots de passe compromis diminue à mesure que la longueur des caractères augmente, mais il reste tout de même 31,1 millions de mots de passe compromis comportant plus de 16 caractères.  

Cela montre que le fait d’avoir des mots de passe plus longs ne vous protège pas des attaques. Même si le nombre de mots de passe compromis diminue à mesure qu’augmente leur nombre de caractères comparé à un mot de passe de 8 caractères, il représente des dizaines de millions d’occasions pour les pirates de pénétrer les organisations qui utilisent des mots de passe plus longs.

Nombre de caractères (longueur du mot de passe)Nombre de mots de passe compromis
>12121,5 millions
>1390,3 millions
>1467,7 millions
>1545,7 millions
>1631,1 millions

Mots de passe réels compromis

Vous trouverez ci-dessous les trois mots de passe compromis les plus courants pour chacune des longueurs de mots de passe que nous avons analysées, comprises entre 8 et 15. Il y a des éléments intéressants à étudier, en particulier aux deux extrémités du tableau. Il n’est pas surprenant de voir que « password » (« mot de passe » en anglais) est le mot de passe de 8 caractères le plus souvent compromis.

Nombre de caractères du mot de passeLes trois mots de passe les plus couramment compromis
8password
research 
GGGGGGGG 
9GGGGGGGGG
anandIGBZ
Cleopatra 
10OOOOOOOOOO
GGGGGGGGGG
passwordGG
11Sym_cskillI
sym_cskillO
FoxracingII
12sym_cskillOT
sym_cskillOG
sym_cskillOB 
13mcafeeptfcorp
CitrixTargusI
rugbyflankerG 
14hacktheplanetI
trendmicro.com
minecraftI.A.S
15SY&custskillsIO
Sym_newhireOEIE
sym_newhireOAIE

L’expression « new hire » apparaît en deuxième et troisième positions parmi les mots de passe de 15 caractères les plus fréquemment compromis, ce qui montre bien que les administrateurs informatiques devraient éviter le recours à des modèles de mots de passe prévisibles et répétitifs lorsqu’ils intègrent de nouveaux utilisateurs. Cela pourrait également mettre en avant le fait que ces nouveaux utilisateurs n’ont pas été contraints de changer leur mot de passe et qu’ils utilisaient depuis un certain temps les mots de passe par défaut qui leur avaient été fournis par les services informatiques.

Faut-il créer des mots de passe encore plus longs ?

En bref, oui. Les données montrent qu’en moyenne, 85 % des mots de passe compromis comportent moins de 12 caractères. Comme le montre le tableau ci-dessous, il est beaucoup plus difficile de déchiffrer un mot de passe plus long. Toutefois, comme le souligne le deuxième tableau, l’augmentation de la longueur des mots de passe ne devrait pas donner aux organisations un faux sentiment de sécurité, car ce n’est qu’une dimension de la bataille pour la sécurité des mots de passe.

Il est important de rappeler que les mots de passe longs peuvent toujours être compromis par le phishing et d’autres formes d’ingénierie sociale. Le risque le plus important est toutefois que des pirates mettent la main sur une base de données de mots de passe provenant d’un site web ou d’une application SaaS moins sûrs. Supposons par exemple qu’un pirate s’introduise dans une boutique en ligne et mette la main sur toute une base de données de mots de passe. Même si les mots de passe sont hachés, le pirate a tout le temps d’essayer de les déchiffrer, puis de découvrir qui sont ces personnes et où elles travaillent. Si l’un de ces mots de passe a été réutilisé dans un cadre professionnel, il constitue une porte d’entrée facile dans l’organisation où travaille l’employé. 

C’est pourquoi la réutilisation des mots de passe peut être le talon d’Achille de ce qui pourrait au demeurant être une politique de mots de passe solide. Une organisation peut obliger les utilisateurs finaux à utiliser des mots de passe plus longs et plus robustes au travail, mais rien n’empêche ces personnes de réutiliser ces mots de passe sur des applications et des appareils personnels dont la sécurité est faible ou bien sur des réseaux non sécurisés.  

Grâce à l’explosion du SaaS, l’employé moyen doit se souvenir des mots de passe pour plus de 25 sites ou applications. Les données de LastPass montrent que plus de 60 % des travailleurs utilisent les mêmes mots de passe ou des variantes très proches. Pour Bitwarden, ce chiffre serait encore plus élevé et concernerait 84 % des employés. Les organisations ayant opté pour le principe du mot de passe sans date d’expiration sont – à leur insu – encore plus exposées au risque de compromission des mots de passe.

Cela signifie que les organisations ont besoin d’un niveau de sécurité supplémentaire en parallèle d’une politique de mots de passe solide : elles doivent pouvoir vérifier si l’un de leurs mots de passe existants a été compromis. Cependant, la plupart des solutions, y compris Azure AD (Entra ID) , le font uniquement lors d’un changement ou de la réinitialisation de mot de passe – ce qui peut représenter une longue période d’attente avant que ne soit découverte une compromission.

Comment limiter la réutilisation des mots de passe et la compromission des informations d’identification ?

Téléchargez notre outil gratuit Specops Password Auditor pour un contrôle rapide de la santé de votre environnement Active Directory par rapport à une liste condensée de plus de 950 millions de mots de passe compromis – y compris ceux dont il est question dans cet article et 4,4 millions de mots de passe ajoutés aujourd’hui. Cet outil vous donnera une analyse en lecture seule et un rapport sur le nombre de vos mots de passe faibles ou déjà compromis.

L’audit proposé par ce type de solution constitue une première étape précieuse pour découvrir les vulnérabilités liées aux mots de passe, mais la véritable protection vient d’un contrôle et d’une remédiation automatisés et continus.  Avec Specops Password Policy et Breached Password Protection, votre Active Directory sera analysé et confronté à une liste de plus de 4 milliards de mots de passe uniques compromis – y compris ceux qui sont utilisés dans des attaques en cours sur des comptes honeypot. Les systèmes de collecte de données de surveillance des attaques de notre équipe de recherche mettent à jour l’API quotidiennement, ce qui vous garantit de rester protégé contre les mots de passe compromis récemment découverts.

Analyses quotidiennes associées à des données plus intelligentes et plus complètes sur les mots de passe compromis

Specops Password Policy avec Breached Password Protection peut désormais offrir une protection encore plus grande à votre organisation face à la menace constante que représentent les attaques informatiques. Notre nouvelle fonction d’analyse continue confronte tous les mots de passe Active Directory par rapport à l’API Breached Password Protection une fois par jour afin de détecter toute compromission – contrairement à d’autres solutions sur le marché qui n’effectuent de vérifications que lors de réinitialisations ou d’expirations.

Le service de protection des mots de passe compromis :

  • Protège contre l’utilisation de plus de 4 milliards mots de passe compromis uniques connus ;
  • Comprend des données sur les mots de passe provenant à la fois de fuites connues, de notre propre système de pot de miel qui collecte les mots de passe utilisés dans de véritables attaques par pulvérisation de mots de passe, et d’informations d’identification volées obtenues par des logiciels malveillants (alimentées par l’unité de renseignement sur les menaces de la société mère de Specops Software, Outpost24) ;
  • Est mis à jour quotidiennement avec les nouveaux mots de passe découverts.

La mise à jour quotidienne de l’API de Breached Password Protection, associée à des analyses continues relatives à l’utilisation de ces mots de passe dans votre réseau, constitue une défense beaucoup plus complète contre la menace d’une attaque par mot de passe et contre le risque de réutilisation des mots de passe. Tous les mots de passe compromis sont bloqués dans Active Directory et les utilisateurs finaux qui les utilisent sont avertis par un SMS ou un e-mail personnalisable – de sorte qu’il n’y a pas de charge de travail supplémentaire pour le Service Desk.

Vous souhaitez découvrit comment cette solution pourrait s’intégrer dans votre organisation ? Vous avez des questions sur la façon dont vous pourriez l’adapter à vos besoins ? Contactez-nous ou obtenez une démonstration ou un essai gratuit.

(Dernière mise à jour le 08/03/2024)

Revenir sur le blog