- Y'α pαs que lα beαuté qui compteDernièrement j'ai découvert la liste des 250 mots de passe les plus utilisés sur Internet. Cette liste est basée sur les mots de passes des sites Singles.com, phpBB et MySpace qui ont été publiés suite au piratage de ces sites.

Je voulais obtenir la liste des mots de passe au format texte puisque la plupart des outils de sécurité (john, medusa, etc.) utilise ce format. J'ai donc écrit un petit script Ruby en utilisant Hpricot, un parseur HTML. Après avoir extrait le tableau du document original, le simple script suivant a fait le travail.

require 'rubygems' require 'hpricot'

doc = Hpricot(open("common_passwords.html"))

counter = 1
(doc/"td").each do |td| if counter % 3 == 0 then puts td.inner_html end counter = counter + 1 end La liste des mots de passe est disponible ici : http://sites.google.com/site/ekse0x/top250_passwords.txt

Pour ceux que ça intéresse, un tutoriel sur Hpricot : http://soledadpenades.com/2007/06/15/extracting-data-with-hpricot/

La liste est intéressante car elle nous donne une indication très représentative des mots de passe utilisés par les gens. On peut par exemple voir que le mot de passe le plus utilisé, 123456, représente 1.12% de tous les mots passe, ce qui veut dire qu'une personne sur 100 l'utilise. Les 25 mots de passe les plus utilisés représente 5% des mots de passes les plus utilisés. C'est énorme. Toute personne qui utilise l'un de ces mots de passes courre le risque que quelqu'un devine son mot de passe et accède à son compte.

Autre détail intéressant, le nom du site apparait assez haut dans la liste des mots de passe les plus populaire pour chacun des sites :

* phpbb - 3e position * myspace1 - 7e position * single - 14e position

Une bonne pratique pour les administrateurs de ces sites serait d'interdire d'utiliser le nom du site et les termes qui s'en rapproche comme mot de passe.

Pour plus d'analyse, je vous invite fortement à lire le