Il y a trois ans nous avions écrit un article qui stipulait que 52% des utilisateurs réutilisent leurs mots de passe. À l’époque, plus de la moitié des personnes utilisaient les mêmes mots de passe pour protéger deux ou plusieurs services en ligne.
Maintenant, trois ans plus tard, il semble que la réutilisation des mots de passe soit toujours un problème sérieux. Les gens exposent toujours leurs données personnelles au risque de vol. Et lorsqu’ils réutilisent des mots de passe au travail, ils mettent également leur employeur en danger d’être victime de pirates informatiques et de cybercriminels.
Un rapport cité par le magazine Computing suggère que 80 % de toutes les violations de données par piratage sont liées aux mots de passe. Voici ce que font les pirates avec vos mots de passe dupliqués :
Le bourrage d’identifiant ou “credential stuffing »
Le credential stuffing est une attaque par laquelle les pirates utilisent une longue liste de noms d’utilisateur et de mots de passe pour tenter de s’introduire dans un système informatique. Un script automatisé teste des milliers de combinaisons de noms d’utilisateur et de mots de passe en essayant de trouver une correspondance qui leur permettra de se connecter au système.
Ces listes sont couramment échangées ou vendues sur le dark web et peuvent contenir des centaines de milliers d’informations d’identification.
Le credential stuffing repose sur la chance, car la liste peut ne pas provenir du service attaqué. Si vous réutilisez des mots de passe, il y a beaucoup plus de chances que des pirates trouvent la bonne combinaison et accèdent à votre compte en ligne.
L’attaque par dictionnaire
Une attaque par dictionnaire fonctionne sur un principe similaire, mais au lieu d’utiliser une liste d’informations d’identifications connues, elle s’appuie sur une liste d’adresses e-mail connues et de mots de passe et expressions populaires. Encore une fois, un script automatisé teste chaque mot de passe par rapport à chaque nom d’utilisateur, essayant de trouver une combinaison qui fonctionne.
Quiconque utilise un mot de passe commun comme 123456 ou abc123 pourrait se retrouver compromis par une attaque par dictionnaire.
Le password spraying
Le password spraying est très similaire à une attaque par dictionnaire en ce sens qu’elle utilise une liste d’adresses e-mail connues et de mots de passe courants. Cependant, la méthode du password spraying teste un mot de passe par rapport à chaque adresse e-mail avant de passer au suivant dans la liste.
Ces attaques sont de plus en plus populaires auprès des pirates car elles sont légèrement plus difficiles à détecter. Pour un site web très fréquenté, des milliers de tentatives de connexion infructueuses ne sont pas suspectes, à moins qu’elles ne soient toutes enregistrées à la suite avec la même adresse e-mail (ce que fait la méthode d’attaque par dictionnaire).
Arrêtez de réutiliser les mots de passe
Avec autant de comptes différents, il est toujours tentant de choisir la facilité et de réutiliser un mot de passe. Mais chaque fois que vous prenez un raccourci, vous augmentez le risque d’être victime de cybercriminalité.
Si vous ne pouvez pas créer et mémoriser suffisamment de mots de passe forts, essayez plutôt d’utiliser un gestionnaire de mots de passe. Il s’agit d’un outil simple et sécurisé qui créera automatiquement – et mémorisera – vos mots de passe automatiquement. Vous n’avez qu’à retenir un seul mot de passe – celui utilisé pour sécuriser le gestionnaire de mots de passe lui-même.
Pour une protection et une simplicité maximales, choisissez un gestionnaire de mots de passe qui fonctionne sur tous vos appareils. Panda Dome Passwords sécurisera toutes vos informations d’identification sur votre smartphone (iOS et Android) et votre ordinateur – il s’intègre même directement dans votre navigateur web pour vous faciliter la vie.
Mais quelle que soit la façon dont vous choisissez de procéder, veuillez cesser de réutiliser les mêmes mots de passe !