L'actualité récente nous a rappelé ô combien l'utilisation d'un code d'accès trop simple représentait un maillon faible pour tout système. Qu'en est-il lorsque le système vous propose de choisir parmi 4 chiffres entre 0 et 10 ? ... voici un billet "tendances des codes PIN automne-hiver 2012" !
étude sur 3,4 millions de codes
DataGenetics est une société de conseil spécialisée dans l'étude et la prospection de données (ou "datamining"), à des fins statistiques, marketing ou décisionnelles. La société a dernièrement publié une note intitulée "is your password too predictable ?" suite à l'étude d'une base de données contenant plus de 3,4 millions de codes utilisateurs à 4 chiffres.
Seule ombre au tableau : la source des données. Le consultant ayant rédigé l'article prétend s'être appuyé sur des données "réelles" collectées sur des bases de données "vulnérables" dont il n'est pas propriétaire. Pas plus de détails....
et le gagnant est...
Les 3,4 millions de codes - représentant 10 000 combinaisons de 4 chiffres - ont été classés par nombre d'occurrences et, sans grande surprise, le code le plus souvent présent est... 1234... puisque présent dans pratiquement 11% des cas !
Les grands classiques ne sont pas en reste puisque le podium est complété par les codes 1111 (6% des occurrences) et le célèbre 0000 (1,8% des cas).
L'article de DataGenetics étant assez complet, nous nous contenterons ici d'une représentation des 20 premiers codes les plus utilisés, ainsi que des 21 derniers du classement :
Source: http://www.datagenetics.com/blog.html
autres résultats
L'objectif de cet article n'est pas de reprendre tous les chiffres exposés par l'étude donc je vous invite à lire l'article original. Sachez toutefois que :
- le code 1234 est plus populaire que les 4.200 codes les moins utilisés
- 1/3 des codes sont issus de seulement 61 combinaisons distinctes
- les codes de la forme 19xx sont tous dans le top #2000
- 1972 est le code le plus utilisé par la série des xx72 (ahh les quadras... !)
- 1919, 1972, 1984 et 1999 se distinguent chacun de leur série 19xx respectives
- le code 2580 (regardez votre clavier téléphonique) n'est que 22ème au classement
passons à la vitesse supérieure
La base de données ayant servi à l'étude n'étant pas limitée aux codes à 4 chiffres, l'auteur a analysé la répartition des codes selon leur longueur :
Source: http://www.datagenetics.com/blog.html
Sans grande surprise ici aussi, on remarquera que les codes inférieurs ou égaux à 10 chiffres représentent 99,16% des cas étudiés.
Voici également le top 20 des codes les plus utilisés selon les longueurs 5 à 10 chiffres :
Source: http://www.datagenetics.com/blog.html
que retenir ?
L'auteur conclut l'étude par une liste d' "observations intéressantes" où nous apprenons notamment que :
- plus le code est long et plus les répétitions et les suites sont fréquentes (00000, 11111, ..., 12345, 98765, ...)
- ou que les utilisateurs favorisent les repères géométriques (par exemple la suite 159753 qui forme un "X")
- ou bien encore que le début du chiffre "Pi" apparait en 22ème position (3141592654) sur les codes à 10 chiffres
Il est néanmoins intéressant d'en déduire également certaines règles de bonnes pratiques qui devraient être implémentées dans les systèmes de gestion de code personnels, comme par exemple :
- l'interdiction des suites ou des répétitions
- l'interdiction de saisie d'une année de naissance
- l'obligation de modifier des codes livrés par défaut (ex: le fameux 0000)
- l'importance de l'utilisation de clavier virtuel (même si cette approche a d'autres défauts)
Vous souhaitez modifier votre code 8068, sous prétexte qu'à présent c'est celui que les pirates vont tester en premier ?! Avant toute précipitation, je vous invite à lire l'excellent article "Authentification par mot de passe : une nécrologie" de Pierre Carron.
Vincent
crédit photo : © Scanrail - Fotolia.com