En 2025, la sécurité des mots de passe reste un enjeu crucial. La société Specops, spécialisée en cybersécurité, vient de publier son rapport annuel, basé sur l’analyse de plus d’un milliard d’identifiants volés. Le constat est préoccupant : des mots de passe simplistes et faciles à pirater dominent toujours, malgré les avancées en matière de sensibilisation.
Voici les points clés de cette étude et des conseils pour renforcer vos pratiques de cybersécurité.
Les mots de passe les plus compromis : toujours les mêmes erreurs
Selon le rapport Specops, les mots de passe les plus souvent volés restent tristement simples. Des termes comme « 123456 », « admin » ou encore « password » apparaissent fréquemment dans les bases de données compromises. Voici le top 5 des mots de passe les plus piratés en 2025 :
- 123456 : 3,7 millions de cas recensés,
- admin : 1,9 million de cas,
- 12345678 : 1,5 million de cas,
- password : 558 000 cas,
- Password : 474 000 cas.
Ces choix simplistes facilitent grandement le travail des cybercriminels, qui utilisent des logiciels spécialisés pour tester ces mots de passe en quelques secondes.
La fausse complexité : un piège courant
L’étude met également en lumière un problème important : les mots de passe qui semblent complexes mais ne le sont pas réellement. Environ 230 millions de mots de passe compromis respectaient les critères de base des « exigences de complexité » (8 caractères minimum, majuscules, chiffres et caractères spéciaux).
Des exemples tels que Pass@123, Admin@123 ou encore P@ssw0rd démontrent que les utilisateurs ont souvent tendance à choisir des mots de passe faciles à mémoriser mais prévisibles. Ces choix, bien que conformes aux normes de complexité, ne résistent pas aux attaques automatisées, car ils sont basés sur des schémas trop courants.
Algorithmes de hachage et limites de la sécurité
Même si une entreprise utilise un algorithme de hachage moderne, comme le SHA-256, pour protéger les identifiants, cela n’élimine pas tous les risques. Selon Specops, des mots de passe courts (de 6 à 9 caractères), même protégés par ce type d’algorithme, peuvent être craqués quasi instantanément.
Les cybercriminels privilégient toujours les cibles les plus faciles. Ainsi, un mot de passe long et complexe dissuade souvent les attaquants, car le temps nécessaire pour le craquer devient prohibitif.
Les recommandations de Specops pour 2025
Pour protéger vos comptes, Specops propose plusieurs conseils pratiques :
- Privilégier des phrases de passe : Optez pour des mots de passe longs et complexes, de préférence sous forme de phrases (par exemple : J3r3steL1bre!2025).
- Éviter les schémas prévisibles : Bannissez les mots de passe basés sur des suites logiques ou des termes courants, même avec des caractères spéciaux.
- Ne pas réutiliser vos mots de passe : L’utilisation d’un mot de passe unique pour chaque site ou application est cruciale pour limiter les risques en cas de compromission.
- Adopter des gestionnaires de mots de passe : Ces outils permettent de générer et de stocker des identifiants sécurisés, sans avoir besoin de les mémoriser.
- Bloquer les mots de passe faibles en entreprise : Les organisations doivent utiliser des outils qui excluent les mots de passe communs ou compromis.
Le rôle des entreprises dans la cybersécurité
Les entreprises jouent un rôle essentiel dans la lutte contre les cyberattaques. Elles doivent non seulement sensibiliser leurs collaborateurs aux bonnes pratiques, mais aussi mettre en place des systèmes pour détecter et bloquer les identifiants compromis.
De plus, elles doivent régulièrement vérifier leurs bases d’identifiants pour s’assurer qu’aucun mot de passe faible ou compromis n’est utilisé. Une politique stricte et des outils adaptés peuvent réduire considérablement les risques.
Conclusion : la sécurité passe par la complexité et la vigilance
En 2025, l’utilisation de mots de passe robustes n’est plus une option, mais une obligation pour quiconque souhaite protéger ses données personnelles ou professionnelles. Les pirates exploitent systématiquement les faiblesses des utilisateurs, mais ces vulnérabilités peuvent être minimisées grâce à des choix réfléchis et des pratiques rigoureuses.
Que vous soyez un particulier ou une entreprise, adoptez dès maintenant des identifiants complexes et uniques pour éviter de figurer dans les prochaines bases de données compromises.
