Quelques faits marquants
83%
des mots de passe compromis sont conformes aux exigences de longueur et de complexité des normes réglementaires en matière de mots de passe.
88%
des mots de passe utilisés pour attaquer les ports RDP lors d’attaques réelles comportent 12 caractères ou moins.
18.82%
des 4,6 millions de mots de passe utilisés dans des attaques réelles contre des ports RDP ne contiennent que des lettres minuscules
À propos des données
Les mots de passe sont faciles à attaquer parce que les gens utilisent des mots de passe faciles à deviner. Ces mots de passe sont devinables parce que les gens les réutilisent et suivent des modèles et des thèmes répandus. Ces mots de passe se retrouvent alors sur des listes de violations et peuvent être attaqués par force brute et par pulvérisation de mots de passe. Comprendre les modèles de mots de passe courants et les comportements des utilisateurs est la première étape de la sécurisation des mots de passe et des données cruciales pour l’organisation qu’ils sont censés protèger.
Le rapport de cette année sur les mots de passe faibles montre pourquoi les mots de passe restent le maillon faible du réseau d’une entreprise et comment l’application d’une politique de mots de passe plus stricte pourrait constituer votre défense la plus efficace.
Les recherches présentées dans ce rapport ont été compilées à l’aide de plusieurs méthodes, parmi lesquelles :
- Notre analyse de 800 millions de mots de passe piratés, un sous-ensemble de plus de 3 milliards de mots de passe uniques compromis dans la liste Specops Breached Password Protection.
- Notre analyse des mots de passe trouvés dans des attaques en direct sur le réseau de « honeypot » de notre équipe, une autre source de mots de passe compromis bloqués par la liste Specops Breached Password Protection.
Quel est le terme de base le plus couramment utilisé pour attaquer les réseaux à travers plusieurs ports ?
L’équipe de recherche de Specops a examiné les mots de passe utilisés pour attaquer les ports RDP lors d’attaques en direct et a analysé un sous-ensemble de plus de 4,6 millions de mots de passe collectés sur plusieurs semaines.
Nous avons pu ainsi identifier des modèles dans les attaques récentes et avons découvert que plus de 88 % des mots de passe utilisés dans les attaques étaient composés de 12 caractères ou moins. La longueur de mot de passe la plus courante dans ces données d’attaques était de 8 caractères, pour près de 24 % de ces mots de passe.
Rang
Mot de passe
1
password
2
admin
3
welcome
4
p@ssw0rd
5
qaz2wsx
6
homelesspa
7
p@ssword
8
qwertyuiop
9
q2w3e4r5t
10
q2w3e4r
Bloquez les mots de passe faibles
Bloquez l’utilisation de plus de 3 milliards de mots de passe compromis, y compris ceux qui figurent sur des listes connues de compromissions, grâce à Specops Password Policy avec Breached Password Protection.
Questions fréquemment posées
Un mot de passe faible est court, courant et prévisible (il utilise des modèle de clavier, ou leetspeak),). Un mot de passe qui est réutilisé sur plusieurs comptes ou qui figure sur une liste de mots de passe piratés représente également un mot de passe faible.
Active Directory ne vérifie pas les mots de passe faibles ou frauduleux par défaut. Avec un peu de configuration, les administrateurs peuvent vérifier les mots de passe Active Directory par rapport à la liste de mots de passe « Have I been Pwned ».
Un mot de passe fort est un mot de passe long, unique et difficile à deviner. Un mot de passe fort peut néanmoins être vulnérable en cas de fuite ou de vol de données. Les mots de passe doivent être régulièrement comparés à une liste de mots de passe compromis connus, et modifiés en cas d’indication de compromission.
Avec un outil tiers comme Specops Password Policy, les administrateurs système peuvent imposer la longueur des mots de passe, les phrases de passe et un certain degré de complexité, tout en bloquant les types de caractères courants au début et à la fin des mots de passe, ainsi que les caractères répétés consécutivement. Les administrateurs peuvent également appliquer les exigences de conformité en bloquant l’utilisation de mots de passe compromis.