Twitter vient de bannir quelques 370 mots de passe au niveau de sécurité beaucoup trop faible. La liste complète des mots de passe mis de côté se trouve ici. Enfin, en même temps, si on regarde rapidement cette liste, on se dit que dans tous les cas de figure, utiliser “aaaaaa”, “cheese” ou “stupid”, c’était quand même faire preuve d’un comportement “ouf-malade”, à la base…
Voilà ce qui arrive quand on colle azerty en tant que mot de passe pour tous ses comptes…
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
ahah pour le “ouf-malade”
la prochaine qu’ils font ça chez twitter, ils n’auront qu’à m’envoyer un FAX !
Twitter le cadeaux de noël des hackeur 🙂
xxxxxx et xxxxxxxx sont bannis mais pas xxxxxxx (avec 7 “x”). Etonnant, non?
Quelle honte de donner cette liste… malgré que ce soit risible. 8)
azerty ne fait meme pas parti de la liste!!
Un peu contre-productive cette liste, non ? Car elle donne quand même pas mal d’indications sur la manière dont l’internaute moyen choisit ses mots de passe…
Qwerty oui mais pas Azerty…
M’enfin, Twitter en Français c’est encore tout neuf, donc CQFD.
@mhd : si tu pense que les hacker ont attendu twitter pour avoir une liste très exaustive de mots de passe à tester… Rien pour le crack des clefs WEP et WPA pour le WIFI on trouve des dictionnaire des plusieurs Go de mots de pass de ce type sur le net :). Les méthodes brute force pour casser les mots de passe sont utilisées depuis l’antiquité du web.
On retrouve tout de même le fameux “trustno1” de Fox Mulder ^^
Y a même des mots de passe doublement banni, “asdfgh” est en 40 et 41ème place 😀 . Par contre comme pour azerty, qsdfgh n’est pas banni. Faut s’attendre à ce qu’il publie une deuxième liste d’ici peu 😳
Sinon j’aime assez bien les mots de passe: sexsex ou vagina. C’est une belle source d’inspiration pr mes prochains mots de passe :love:
Mouarf, j’suis tranquille avec les mien… 14 caractères et un bon mélange de chiffres, minuscules et majuscules… =)
Il y a quelques mots de passe bien con tout de même dans la liste… ^^
Ca me semble plutôt sage de la part de Twitter.
+1 Hadrien :love:
Si je me gourre pas Klesk, la bruteforce c’est encore une autre technique, qui consiste à tester toutes les combinaisons possibles (genre A-AA-AAA-AAAA-AAAB-AAAC-AAAD etc)
En effet Kineas, Force Brute c’est par combinaison…une attaque avec une liste comme celle là serait une attaque dite “par dictionnaire” si je ne m’abuse. 🙂
Non mais serieusement est ce que c’est si grave de se faire piraté son compte twiter? O.o
Tain on va twiter des trucs à ta place!
@Kineas et Enikarion : La méthode brute force consiste a tester des mots de passe au lieu de chercher à les décrypter ce qui demande beaucoup plus de ressource. Les combinaisons A – AA – AAA etc font justement parti des fameux dictionnaires qui servent à tester les différentes combinaisons possibles. D”après vous, les applis qui permettent ces méthodes vont chercher les combinaisons où ?? Elles ne les génèrent pas, elles les prennent dans des dictionnaires :).
Les dico employés vont être triés en fonction de la cible potentielle et contiennent en général plusieures centaines de millier de mots de passe potentiels, voir plusieurs millions avec des combinaisons pouvant faire plusieures dizaines de caractères. On trouve ainsi des dico spécifiques à l’attaque des clés wep et wpa pour la france etc. C’est pareil pour le reste.
Moi ya un truc que je pige pas là…les mots de passes sont censés être cryptés (minimum des choses étant en md5..), donc comment ils ont pu voir les mots de passe? Tout bon site qui se respecte crypte ses mots de passe (et parfois même les logins) donc comment on peut retrouver les mots de passe?
“abc123” est classé 19eme et 20eme mais aucune différence ….c’est étrange…..
Euh en fait pspman80 ils ont pas besoin de voir les mots de passes des utilisateurs, il suffit qu’ils hashent les passes qu’ils veulent bannir par exemple “azerty” donnera “ab4f63f9ac65152575886860dde480a1” et là ils ont plus qu’a trouver dans leur base de donnée avec quels utilisateurs ca correspond et ils font le ménage !
Ah et “Minimum des choses étant en md5” moi je pense qu’ils utilisent plutot minimum SHA1 c’est nettement mieux…
Oui en effet, j’avais pas vu cela comme ça!
Pour le “minimum en md5” j’entendais par la qu’il fallait que ce soit crypté même avec une solution moins efficace qu’un SHA1 par exemple.
Et bien. Ca se durit de partout on dirait.
là c’est risible, ça concerne Twitter des gars qui se font zapper parce que leur mot de passe n’était pas niveau militaire niveau 5.
mais bientôt vous verrez , celui qui écira LOL en majuscules suivi de MDR, se fera :
1. bannir pour troll et écriture en majuscules
2. la police viendra perquisitioner chez lui pour vérifier s’il a pas écrit ZUT sur d’autres forums
Ah zut, Benji a trouvé mon mot de passe fétiche : ab4f63f9ac65152575886860dde480a1
C’est vraiment des cons ! Certaines personne utilise peut être ce mot de passe pour autre chose !