Bob Graham –qui sévit cette fois non pas sur le Security Focus, mais dans les colonnes de Dark Reading- s’est penché sur la collection de 20 000 mots de passe diffusés lors du hack de PHPBB. Les résultats sont sans la moindre surprise : les mots de passe sont absolument « évidents » et à 94% récupérables dans le cadre d’une attaque par dictionnaire. 16% de l’échantillonnage est constitué de prénoms, 14% sont des suites de dactylogrammes genre 12345 ou azerty, 4 % sont des variations du mot « password », 5% sont des références populaires qui vont de Pokemon à Star Wars, 4% sont inspirés du matériel utilisé ou d’un objet périphérique –Presario, Apple, Dell etc-, ceci pour ne pas nommer les héros de séries TV ou les noms de grands footballeurs. Par ordre de popularité, les mots de passe les plus utilisés étaient 123456, password et phpbb, suivis de près par qwerty.
A remarquer que la longueur moyenne des mots de passe est de 6 lettres, soit une lettre de plus que la longueur moyenne des mots usuels de la langue anglaise.
Dans l’ensemble, cette analyse reflète très exactement toutes les études précédentes déjà rédigées sur ce sujet. L’application de politiques de mots de passe plus strictes ne change généralement pas ces comportements. L’obligation de mélanger lettres et chiffres se solde souvent par un choix identique à ceux susmentionnés, achevé généralement par le chiffre « 1 ». Les politiques contraignant de fréquents changements de mots de passe se sont toutes soldées par une désaffection notable du service en ligne qui tentait d’appliquer une telle pratique de sécurité.