Chaque année, l’entreprise SplashData, spécialisée dans la sécurité des mots de passe, publie une liste annuelle des mots de passe les plus couramment utilisés sur le Web, basée sur son examen de plus de cinq millions de mots de passe divulgués par des cybercriminels.
On peut facilement constater ici que les suites numériques sont à proscrire, tout comme les mots et expressions trop simples (« password » et « qwerty », par exemple). Notez qu’on y trouve également des mots liés au sport ou à l’actualité dans le palmarès. Ainsi, « donald » figurait au 23ème rang du palmarès 2018. Les suites de lettres ou de chiffres simples, telles « abc123 » ou « qwerty123 », se démarquent également, ainsi que les suites de caractères spéciaux, telles que « !@#$%^&* » (obtenue en gardant la touche majuscule enfoncée et en entrant « 12345678 » sur un clavier anglais).
Benoît Grunemwald, expert en cybersécurité chez Eset France, conseille « d’éviter de choisir des mots que ce soit des noms communs, noms propres, verbes… et quelle que soit la langue. Évidemment, les internautes anglo-saxons sont plus nombreux, mais les cybercriminels et leurs outils ne connaissent pas de barrière linguistique quand vient le temps de déchiffrer les mots de passe. De même, il faut vérifier si les mots de passe ont déjà été identifiés dans une brèche de données. Si c’est le cas, même si c’est parce qu’un autre utilisateur a été piraté, sur une autre plateforme, un mot de passe déjà disponible publiquement est peu sécuritaire, et ne devrait jamais plus être envisagé. »