Les 15 types de mots de passe les plus répandus sur le Web

Les fuites d’informations comme celles de Poste Canada et de Desjardins sont de plus en plus fréquentes, d’où l’importance de choisir un bon mot de passe et de le changer régulièrement. Pour protéger vos comptes, consultez notre liste des types de mots de passe les plus populaires – c’est-à-dire ceux qu’il faut éviter – et suivez nos conseils pour améliorer le niveau de sécurité de vos mots de passe.

Pour créer notre palmarès, nous avons analysé une liste de 10 millions de mots de passe révélée par le site xato.net afin d’aider les chercheurs œuvrant dans le domaine de la sécurité informatique. Cette liste est une agrégation de plusieurs listes provenant de diverses sources comme les réseaux (par exemple Usenet et IRC) et certains forums où les pirates informatiques s’échangent des informations. Compte tenu de la source, il s’agit principalement de références anglophones, mais on y trouve tout de même des mots de passe typiquement québécois qui suivent les mêmes tendances, notamment pour les noms de villes (quebec, montreal, drummond), les jurons, ainsi que les expressions ou mots courants (poutine, gohabsgo, skidoo, tiguidou, minou).

Les types de mots de passe les plus répandus, suivis d’exemples parmi les plus utilisés

1. Séquences numériques: 123456, 12345, 123321, 654321, 123123

2. Références aux mots de passe ou aux ordinateurs: password, letmein, trustno1, computer, pass, access, secret, changeme, login, admin, master

3. Séquences de caractères sur le clavier: qwerty, qwertyuiop, qweasd, zxcvbnm, !@#$%^&*

4. Répétitions de caractères: 111111, 666666, 7777777, 121212, zzzzzz

5. Mots du dictionnaire: dragon, monkey, blue, coffee, sunshine

6. Références sportives: baseball, football, yankees, jordan23, lakers

7. Combinaisons de lettres et de chiffres, souvent alignés sur le clavier: abc123, 1qaz2wsx, 123qwe, 1234qwer, zaq1zaq1

8. Marques et modèles de produits: mustang, cocacola, ferrari, samsung, photoshop, lenovo

9. Noms d’hommes, de femmes, d’animaux de compagnie et de célébrités: michael, taylor, jennifer, jordan, tiger, cookie, princess, donald

10. Références de culture générale: superman, matrix, maverick, starwars, pokemon, tiktok

11. Mots vulgaires: fuckyou, pussy, fuckme, asshole, bitch

12. Lieux, villes et pays: dallas, dakota, london, Canada

13. Expressions ou mots courants: hello, welcome, whatever, iloveyou

14. Dates sous différentes formes: 1990, 1988, 1992, 1011980

15. Tous codes postaux et numéros de téléphone

Bonus – Les variantes des mots de passe ci-dessus utilisant des chiffres et/ou des caractères spéciaux et/ou des majuscules: Qwerty1, money4$, Apple1!, soleil123

>> À lire aussi: notre comparatif de 5 gestionnaires de mots de passe

Comment sécuriser vos comptes

• Utilisez un mot de passe solide

Évitez les catégories de mots de passe faisant partie de la liste ci-dessus et utilisez un code comportant plus de 15 caractères. Cela dit, les mots de passe considérés «sécuritaires» sont difficiles à retenir et pas nécessairement infaillibles, comme le démontre avec humour le dessinateur et ingénieur Randall Munroe. Plutôt que d’utiliser des combinaisons complexes impossibles à apprendre par cœur, optez pour un mot de passe composé de quatre mots faciles à mémoriser, mais qui ne sont pas liés entre eux (comme «Simone échelle violet perruche»).

• N’utilisez pas le même mot de passe partout

Utiliser le même mot de passe sur plusieurs sites est risqué, surtout si celui-ci permet d’accéder à vos courriels. En effet, si vous utilisez le même code pour votre boîte de courriels et pour vos comptes Facebook et Instagram, un malfaiteur pourrait aisément accéder à vos courriels si l’un des deux réseaux sociaux était victime d’une fuite de données. Une fois dans votre boîte courriel, celui-ci pourrait alors faire beaucoup de dommage en utilisant la fonction de récupération de mots de passe des comptes liés à cette adresse courriel. Étant le maillon faible de la chaîne de sécurité, le mot de passe de votre adresse courriel doit être particulièrement sécuritaire.

• Utilisez un gestionnaire de mot de passe

Les applications LastPass et 1Password permettent de générer aléatoirement des mots de passe différents et solides pour chaque site web et de les conserver de manière sécuritaire. Ces applis regroupent tous vos mots de passe au même endroit afin que vous puissiez utiliser un code «maître» permettant d’accéder à l’ensemble de vos comptes. Quant à l’appli «open source» KeePass, elle permet de stocker vos mots de passe localement, c’est-à-dire sur un ordinateur, une clé USB, un cellulaire, etc.

• Vérifiez si vos comptes ont été compromis

Même si vos mots de passe sont sécuritaires, vous devez vérifier s’ils ont déjà été exposés en raison d’une fuite informatique. Le site haveibeenpwned.com (me suis-je fait avoir?) permet de le faire en consultant la liste des sites compromis auxquels votre adresse courriel est associée. Le site recense aussi plus de 555 millions de mots de passe ayant été exposés dans des brèches de sécurité, et permet aussi d’être notifié si vos comptes sont compromis.

• Activez l’authentification à deux facteurs

Plusieurs sites offrent la possibilité d’activer cette fonction, par exemple Gmail, Facebook et Amazon (on peut généralement l’activer dans la section «sécurité» du compte). Si vous l’activez, vous devrez alors fournir deux informations lorsque vous souhaiterez vous connecter: votre mot de passe et un code temporaire qui vous est envoyé via une application sur mobile ou sur PC (comme Authy) ou par SMS (cette option n’est toutefois pas recommandée, car les cartes SIM des cellulaires peuvent être clonées, ce qui rend cette méthode moins sécuritaire). Puisque le code est valide seulement 30 secondes et qu’il faut le fournir à chaque nouvelle connexion, une personne qui aurait découvert votre mot de passe serait tout de même incapable d’accéder à votre compte. À noter: plutôt que d’entrer un code à chaque connexion, il est possible de remplacer cette étape par une clé physique (comme YubiKey). Vous devez alors brancher une clé USB dans l’appareil que vous voulez utiliser pour accéder à vos comptes. Cette clé contient les clés cryptographiques nécessaires à l’authentification à deux facteurs et élimine l’étape d’entrer un mot de passe pour les services supportés.

>> À voir aussi: notre comparateur de forfaits internet et notre comparateur de forfaits cellulaires