Number Usage in Passwords: Take Two, (Thu, Apr 9th)

2 minute de lecture

Mis à jour : April 09, 2026

Analyse de l’usage des chiffres et des dates dans les mots de passe

Cette étude menée par le SANS ISC, basée sur l’analyse de près de 500 000 mots de passe capturés par des honeypots, met en lumière les habitudes prévisibles des utilisateurs et des attaquants concernant l’intégration de données temporelles dans les identifiants de connexion.

Points clés :

Prédominance des années : Les utilisateurs intègrent massivement l’année en cours (voire l’année suivante) dans leurs mots de passe, souvent à la fin de la chaîne de caractères.
Utilisation de dates réelles : Une part significative des mots de passe (numériques à 8 chiffres) correspond à des dates réelles (format YYYYMMDD, MMDDYYYY ou DDMMYYYY). Un grand nombre d’entre elles semblent liées à des événements récents ou à la date du jour de création du mot de passe.
Comportement des bots : Les attaquants exploitent ces tendances. Les honeypots ont révélé des tentatives d’accès utilisant des mots de passe pré-formatés avec des années futures (jusqu’en 2040), souvent pour automatiser des attaques par force brute ou des déploiements de scripts malveillants.
Activité malveillante corrélée : Certains flux de données contigus (ex: “100000”) ne sont pas des mots de passe, mais des commandes ou des paramètres techniques injectés lors de tentatives de DDoS ou d’exploitation d’endpoints.

Vulnérabilités :

Faiblesse entropique : L’usage de motifs prévisibles (années, dates de naissance, séquences numériques comme “123”) réduit drastiquement l’entropie des mots de passe, les rendant triviaux à deviner par des dictionnaires ou des attaques par force brute.
Absence de CVE spécifique : Cette problématique relève de la mauvaise hygiène de sécurité des utilisateurs et de la conception des politiques de mot de passe, plutôt que d’une faille logicielle répertoriée.

Recommandations :

Bannir les données temporelles : Éviter strictement d’inclure des années, des saisons, des dates de naissance ou la date actuelle dans les mots de passe.
Adopter des gestionnaires de mots de passe : Utiliser des outils générateurs de chaînes aléatoires complexes pour supprimer la composante humaine dans la création des identifiants.
Renforcer l’authentification : Implémenter systématiquement l’authentification multifacteur (MFA), qui neutralise l’efficacité des attaques par devinette de mot de passe, même lorsque ceux-ci sont prévisibles.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Number Usage in Passwords: Take Two, (Thu, Apr 9th)

Analyse de l’usage des chiffres et des dates dans les mots de passe

Partager sur

Vous pourriez aimer

When attackers already have the keys, MFA is just another door to open

L’inefficacité structurelle du MFA face aux fuites de données

Webinar: From noise to signal - What threat actors are targeting next

Anticiper les menaces : Transformer le renseignement en défense proactive

UAT-10362 Targets Taiwanese NGOs with LucidRook Malware in Spear-Phishing Campaigns

Campagne de cyberespionnage UAT-10362 contre les ONG taïwanaises

ThreatsDay Bulletin: Hybrid P2P Botnet, 13-Year-Old Apache RCE and 18 More Stories

État des lieux : Menaces cyber et vulnérabilités émergentes