Une faille de sécurité sur un site social très populaire a permis à un attaquant de récupérer quelques 32 millions de mots de passe à partir de la base des membres du site. En plus, le hacker a publié sur internet la liste entière des mots de passe. Cet échantillon très large a permis à la société Impreva Consulting de faire une étude sur la façon dont les internautes choisissent leurs mots de passe. Les résultats sont plus ou moins surprenant.

Voici quelques constats d'après les statistiques du rapport:

• La moitié des membres utilisent un mot de passe court (5 à 7 caractères).
• 60% ont un mot de passe sans variation de caractères (uniquement des lettres minuscules, uniquement majuscules ou uniquement des chiffres).
• Seulement 3,8% des membres ont des caractères spéciaux dans leurs mots de passe (par exemple: !@#$%^&).
• Une grande partie des membres utilisent des mots de passe très faciles, environ 300 000 membres utilisent le mot de passe 123456 par exemple. 60 000 utilisent le mot de passe 'Password'.

Ces choix très faibles des mots de passe facilitent la tâche des pirates. En effet une attaque de type dictioannary attack avec les 5000 mots de passe les plus populaires peut rapporter au pirate 20% des comptes du site!

Vous pouvez consulter le rapport entier ici: http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf