Ils sont basés sur des bases de données de mots de passe divulguées. Ce qui crée un énorme biais : les mots de passe simples sont surreprésentés par rapport aux mots de passe complexes dans ces bases de données, car dans la plupart des cas ce qui est volé est une base de mots de passe hachés et salés. , et donc il faut réaliser une attaque par dictionnaire ou par force brute pour retrouver les mots de passe correspondants… une attaque qui ne retrouvera donc que les mots de passe simples et courants présents dans le dictionnaire utilisé (ou très courts dans le cas de la force brute).
Lister les mots de passe les plus courants n’a en réalité quasiment aucun intérêt, si ce n’est permettre à NordPass de se faire un nom en publiant l’étude.
Ce qui serait bien plus intéressant, c’est d’étudier le rapport entre les hachages brisés et le total des hachages divulgués, et de voir si ce rapport a tendance à diminuer avec le temps.
Non, pas si le site met correctement en œuvre les bonnes pratiques de sécurité : on ne fait plus de haschisch sans sel, et on évite même d’en faire avec du sel statique.