07 Déc. 20 Cybersécurité
Les mots de passe les plus utilisés en France - Authentification forte
Comme chaque année, l’analyse des mots de passe les plus utilisés fait apparaitre les habituels 123456 et password. Il y a bien quelques originalités cette année, mais apparaissant dans la liste des mille mots de passe les plus utilisés, leur fiabilité est à mettre en doute.
Alors, vos mots de passe font-ils partie de la liste…?
Les dernières préconisations en matière de sécurité informatique recommandent l’utilisation de la double authentification. Comment mettre en place ce système ? La double authentification peut-elle palier la faiblesses des mots de passe ?
Les mots de passe les plus utilisés
Dans la liste des mots de passe les plus utilisés sur les sites français, on retrouve bien sûr les déclinaisons autour de « 123456 », utilisées par ailleurs dans le monde entier, mais également quelques spécificités bien françaises.
Voici le top des 16 mots de passe les plus utilisés par les français en 2019 :
- 1. 123456
- 2. 123456789
- 3. azerty
- 4. 1234561
- 5. qwerty
- 6. marseille
- 7. 000000
- 8. 1234567891
- 9. doudou
- 10. 12345
- 11. loulou
- 12. 123
- 13. password
- 14. azertyuiop
- 15. 12345678
- 16. soleil
Il est à noter que tous ces mots de passe peuvent être craqués en moins d’1 seconde !
La suite de la liste contient une grande part de prénoms, les premiers cités étant nicolas, julien, thomas, camille, et également tous les petits mots doux et diminutifs : les doudou, amour, louloute, princesse et autres jetaime ou iloveyou.
coucou et bonjour restent toujours bien classés (22ème et 26ème place), suivi de chocolat en 33ème place.
Les français ne font donc pas dans l’originalité par rapport aux années précédentes !
Les habitudes sont tenaces
Dans des études comme celle publiée par Techrepublic, ce sont près de 300 millions de mots de passe qui sont examinés.
Ces analyses font ressortir plusieurs points :
- seulement 44 % des mots de passe étaient uniques
- plus de 50 % des mots de passe étaient présents dans la liste des années précédentes
- on retrouve toujours des mots de passe qui sont des noms, des sports et des aliments.
Les mots de passe qui apparaissent dans ces listes sont donc très faciles trouver. Si un utilisateur les emploie, combien de temps faudra-t-il pour les découvrir et accéder à son compte ?
Le pirate aura-t-il alors accès :
- au compte VPN ?
- à la messagerie ?
- à un service Saas ?
- ….?
Authentification forte : l'utilisation du double facteur
Les dernières recommandations des différentes organisations (Microsoft, Anssi, etc.) sont très explicites concernant l’authentification, elles préconisent toutes :
l'Utilisation à double facteur (A2F / MFA) / Authentification multi-facteur
Le principe de ce système est de vérifier l’identité de la personne qui utilise le compte en deux étapes. Un utilisateur a généralement un mot de passe et un autre facteur :
- Code à usage unique (OTP) (Token physique, Token Mobile, « éventuellement SMS »)
- Clef USB
- Une empreinte
- Validation par téléphone
- etc.
Cette technique permet donc d’élever le niveau de sécurité des accès. Elle garantit que même en cas de mot de passe faible ou de fuite de mot de passe, la personne malveillante aura besoin d’un second élément pour accéder au compte.
Comment sécuriser la messagerie, les VPN, les comptes ?
En 2020, ce principe de double facteur peut très souvent s’activer sur l’ensemble des services qui requiert une authentification.
Comment sécuriser la messagerie office 365 ?
Microsoft propose d’activer ce service. Une phase de validation est nécessaire à la première connexion du téléphone ou de l’ordinateur, mais la connexion est ensuite complètement transparente pour l’utilisateur.
Comment sécuriser les accès VPN ?
Cette authentification à double facteur est vitale pour sécuriser l’accès aux données de l’entreprise. Généralement, quelle que soit la solution VPN, il est possible d’activer ce mécanisme. Une étude ou une adaptation peut parfois être nécessaire.
Comment sécuriser les services en mode Saas ?
De plus en plus de services proposent ce type d’authentification multi-facteur pour protéger leurs clients.
La mise en place d’une authentification forte est une étape importante de l’évolution de l’entreprise. Pour obtenir l’adhésion des utilisateurs ou de la direction, il est important que la solution déployée ne pénalise pas l’utilisateur au quotidien. Une étude des solutions ou un déploiement personnalisé est donc essentiel pour réussir ce type de projet.
Nous accompagnons de nombreux clients sur l’aspect multi-facteur. Nous travaillons avec plusieurs éditeurs sur le sujet pour accompagner nos clients.
- Fortinet
- Okta
- Yubico
Vous souhaitez mettre en place une authentification à double-facteur pour sécuriser vos accès ?