Le top 100 des pires mots de passe utilisés sur Ashley Madison

La liste qui vient d'être révélée montre à quel point les mesures de sécurité prises par le site de rencontre extraconjugale Ashley Madison étaient légères en matière de mot de passe.

Quand le site de rencontre extraconjugale Ashley Madison s'est fait voler en juillet près de 100 Go de données sur ses utilisateurs, il semblait qu'une information restait encore protégée : les mots de passe. Ils étaient en effet chiffrés (via le protocole de hash bcrypt). Un groupe de chercheurs en sécurité (CynoSure Prime) est parvenu depuis à mettre au jour plus de 11,7 millions de mots de passe utilisés sur Ashley Madison. Ils ont fait appel dans cette optique à une méthode, baptisée cracking rig, consistant à partir d'une liste des mots de passe les plus probables, car les plus souvent choisis.

Ces experts ont publié une liste des 100 mots de passe les plus souvent utilisés sur le site (liste publiée par nos confrères d'Ars Technica).

La méthode retenue par les chercheurs et la liste publiée montrent à quel point les mesures d'Ashley Madison étaient légères en matière de mot de passe. Pour pouvoir les déchiffrer, il fallait par définition qu'ils soient faibles, c'est-à-dire ne pas être trop longs, ne pas contenir de caractères spéciaux, de date, de termes... 120 000 abonnés se connectaient avec le mot de passe "123456", près de 40 000 avec "password"... Seuls 4,6 millions de mots de passe découverts étaient uniques... Et au final, les chercheurs buttent encore que 3,7 millions qui n'ont pas encore été percés. Autant dire qu'au-delà du chiffrement le site n'avait aucune politique de mot de passe, laissant ouverte ainsi une faille potentiellement béante.

Mot de passe Nombre d'utilisateurs
Top 100 des mots de passe utilisés sur Ashley Madison
123456 120511
12345 48452
password 39448
DEFAULT 34275
123456789 26620
qwerty 20778
12345678 14172
abc123 10869
pussy 10683
1234567 9468
696969 8801
ashley 8793
fuckme 7893
football 7872
baseball 7710
fuckyou 7458
111111 7048
1234567890 6572
ashleymadison 6213
password1 5959
madison 5219
asshole 5052
superman 5023
mustang 4865
harley 4815
654321 4729
123123 4612
hello 4425
monkey 4296
0 4240
hockey 4191
letmein 4140
11111 4077
soccer 3936
cheater 3908
kazuga 3871
hunter 3869
shadow 3831
michael 3743
121212 3713
666666 3704
iloveyou 3671
qwertyuiop 3599
secret 3522
buster 3402
horny 3389
jordan 3368
hosts 3295
zxcvbnm 3280
asdfghjkl 3174
affair 3156
dragon 3152
987654 3123
liverpool 3087
bigdick 3058
sunshine 3058
yankees 2995
asdfg 2981
freedom 2963
batman 2935
whatever 2882
charlie 2860
fuckoff 2794
money 2686
pepper 2656
jessica 2648
asdfasdf 2617
1qaz2wsx 2609
987654321 2606
andrew 2549
qazwsx 2526
dallas 2516
55555 2501
131313 2498
abcd1234 2489
anthony 2487
steelers 2470
asdfgh 2468
jennifer 2442
killer 2407
cowboys 2403
master 2395
jordan23 2390
robert 2372
maggie 2357
looking 2333
thomas 2331
george 2330
matthew 2298
7777777 2294
amanda 2273
summer 2263
qwert 2263
princess 2258
ranger 2252
william 2245
corvette 2237
jackson 2227
tigger 2224
computer 2212

Chiffrement / Faille