Il y a un peu plus d'un an, des acteurs malveillants ont piraté le service MyFitnessPal. Avec 143 millions d'utilisateurs, il s'agissait de l'un des plus gros piratage d'informations d'identification jamais signalé. Maintenant, alors que Flare Systems lance son service de vérification des mots de passe divulgués, nous présentons les trois leçons que nous avons tirées de l'analyse de cette multitude de mots de passe.
Se familiariser avec les données divulguées
Du 143 millions de comptes qui ont été piratés, seulement 46M de mots de passe ont été rendues publiques. Des chercheurs ont suggéré que la fuite comprenait en fait des mots de passe cryptés avec une cryptographie de pointe (bcrypt) et une cryptographie facile à déchiffrer (SHA-1). MyFitnessPal a mis à jour la cryptographie lorsque les utilisateurs se sont connectés il y a quelques années. Par conséquent, les 43 millions de mots de passe divulgués sont probablement destinés aux utilisateurs qui ne se sont pas connectés depuis quelques années.
Mots de passe les plus courants
De nombreux utilisateurs ont utilisé les mêmes mots de passe. En conséquence, nous avons trouvé 22 millions de mots de passe uniques parmi les 46 millions de mots de passe divulgués. Nous vous présentons ci-dessous le Top 10 des mots de passe les plus courants.
- 123456 (% 0.21)
- mot de passe (0.20%)
- forme physique (0.11%)
- qwerty (0.07%)
- maigre (0.07%)
- ensoleillement (0.06%)
- monfitnesspal (0.06%)
- Charlie (0.05%)
- princesse (0.05%)
- perdre du poids (0.05 %)
Nous ne nous attendions pas à ce que les utilisateurs aient des mots de passe très forts pour leur application de fitness. Ceci est confirmé par l'utilisation exclusive de caractères alphabétiques minuscules. Fait intéressant, le mot singe est à la 17e place. Ce mot a toujours été répertorié comme l'un des mots de passe les plus courants et beaucoup sont encore perplexes quant à pourquoi.
Longueur du mot de passe
La figure ci-dessous montre la longueur des mots de passe piratés. La longueur la plus courante est de 8 caractères. Plus de 90 % des mots de passe comportent entre 6 et 10 caractères, ce qui les rend très faciles à déchiffrer.
Presque tous les mots de passe commencent par une lettre minuscule (87 %) et les autres commencent par 1 chiffre (11 %) ou 2 chiffres (1 %). La moitié des mots de passe se terminaient par 2 chiffres. 10 % de plus se sont terminés par 1 chiffre. Environ 2 % des mots de passe se terminaient par un seul caractère spécial. 65% de tous les caractères sont des alphas et 25% sont des chiffres.
L'algorithme Zxcvbn
Chez Flare Systems, nous aimons l'algorithme Zxcvbn pour mesurer la force des mots de passe. Dropbox a conçu cet algorithme qui évalue les mots de passe sur une échelle de 0 (très faible) à 4 (très fort). En plus de détecter l'utilisation de mots courants, l'algorithme examine également la proximité des caractères sur un clavier anglais. !@#$%?&*() peut ressembler à un mot de passe très fort ; en réalité, il s'agit d'un mot de passe commun car il comprend tous les caractères spéciaux au-dessus des lettres.
La figure confirme que plus de la moitié des mots de passe de MyFitnessPal étaient très faibles. Il montre également que des mots de passe incroyablement complexes (note de 4) étaient toujours piratés car l'algorithme de cryptage utilisé était lui-même faible et facilement piraté.
Les leçons apprises
La première leçon que nous avons apprise est que les gens choisissent mieux leurs mots de passe. Oui, les mots de passe les plus courants trouvés dans le dump sont très hebdomadaires (singe?). Les 10 mots de passe les plus courants représentent cependant moins de 1% de tous les mots de passe. Cela suggère que de moins en moins d'utilisateurs choisissent des mots de passe faibles.
La deuxième leçon est que les mots de passe forts sont inutiles s'ils ne sont pas correctement cryptés. Les données de fuite contiennent des mots de passe très complexes qui n'auraient pas pu être déchiffrés sans le schéma de cryptage très basique utilisé par MyFitnessPal. Les services de sécurité doivent donc éduquer leurs utilisateurs sur l'importance des mots de passe forts. Ils doivent également s'assurer qu'ils utilisent en interne un cryptage fort pour protéger ces mots de passe.
Enfin, cette fuite nous rappelle les dangers de bourrage de mot de passe (voir cet article sur la façon dont les pirates utilisent la technique sur une application de restauration rapide). L'ampleur de la fuite expose des millions d'utilisateurs qui ont réutilisé leurs mots de passe sur d'autres sites Web à un risque de victimisation. Lors du choix d'un mot de passe sur une application pour smartphone, de nombreux utilisateurs ne prendront pas le temps de générer un mot de passe sécurisé fort comme c'est généralement la norme sur les ordinateurs de bureau. Ces mots de passe faibles peuvent entraîner la fuite d'informations plus privées telles que les données de crédit.
Le nouveau service de vérification des mots de passe de Flare Systems peut vous aider à vous protéger contre le bourrage de mots de passe et les conséquences des fuites de mots de passe. Nous contacter apprendre comment.
