À quel point serait-il facile pour un voleur de deviner votre code PIN à quatre chiffres ? S’il était obligé de deviner au hasard, ses chances d’obtenir le bon numéro seraient d’une sur 10 000 – ou, s’il a trois essais, d’une sur 3 333. Mais si vous avez été assez négligent pour choisir votre date de naissance, une année dans les années 1900, ou une séquence numérique évidente, ses chances augmentent. Beaucoup plus élevées.
Les chercheurs de la société d’analyse de données Data Genetics ont découvert que les trois combinaisons les plus populaires – » 1234 « , » 1111 » et » 0000 » – représentent près de 20 % de tous les mots de passe à quatre chiffres. Par ailleurs, toutes les combinaisons à quatre chiffres commençant par « 19 » se situent au-dessus du 80e percentile en termes de popularité, celles de la fin du XIXe siècle étant les plus populaires. Les combinaisons MM/DD, dont les deux premiers chiffres sont compris entre « 01 » et « 12 » et les deux derniers entre « 01 » et « 31 », sont également assez courantes. Ainsi, choisir votre date d’anniversaire, votre année de naissance ou un nombre qui pourrait correspondre à la date d’anniversaire ou à l’année de naissance de beaucoup d’autres personnes rend votre mot de passe nettement plus facile à deviner.
À l’autre extrémité de l’échelle, la combinaison la moins populaire-8068-apparaît moins de 0,001 % du temps. (Bien que, comme le reconnaît Data Genetics, vous ne devriez probablement pas sortir et choisir « 8068 » maintenant que c’est une information publique). Les cinq derniers sont « 8093 », « 9629 », « 6835 » et « 7637 », qui sont tous presque aussi rares.
Data Genetics a obtenu ces chiffres en analysant une base de données de 3,4 millions de mots de passe volés qui ont été rendus publics au fil des ans. La plupart d’entre eux sont des mots de passe pour des sites web. Mais en examinant spécifiquement ceux qui comprennent exactement quatre caractères, tous des chiffres, les chercheurs ont pensé qu’ils pourraient obtenir un proxy décent pour les PIN des guichets automatiques également.
On pourrait espérer, bien sûr, que moins de personnes choisissent « 1234 » pour protéger leurs comptes chèques que pour se connecter à des sites web aléatoires. Mais Data Genetics a trouvé des preuves circonstancielles pour étayer son hypothèse selon laquelle il existe des corrélations fortes entre les deux. Par exemple, la combinaison « 2580 » était la 22e plus populaire dans son ensemble de données. Pourquoi une telle fréquence ? Probablement parce que ces quatre chiffres apparaissent sur une seule colonne, de haut en bas, sur le clavier d’un téléphone ou d’un distributeur automatique de billets. Sur la plupart des claviers d’ordinateur, ils ne le font pas.
Quelques autres anedcotes intéressantes tirées des données :
- La moitié des mots de passe figurent parmi les 426 plus populaires (sur un total de 10 000).
- Les gens préfèrent les nombres pairs aux impairs, ce qui fait que « 2468 » se classe mieux que « 1357 ».
- Bien plus de mots de passe commencent par « 1 » que tout autre nombre. En deuxième et troisième position lointaine, on trouve « 0 » et « 2 ».
- Parmi les mots de passe à sept chiffres, le quatrième plus populaire est « 8675309 », qui devrait sonner familier aux fans de musique des années 80.
- Le 17e mot de passe à 10 chiffres le plus populaire est « 3141592654 ». »
- Les séquences à deux chiffres avec de grands écarts numériques, comme « 29 » et « 37 », se retrouvent souvent parmi les mots de passe les moins populaires.
Pour ceux qui s’amusent de ce genre de choses, le billet de blog de Data Genetics vaut la peine d’être lu en entier. Gardez simplement à l’esprit que deviner n’est pas la seule façon dont les voleurs peuvent glisser votre NIP ou votre mot de passe. Ainsi, le « 8068 » seul – ou quel que soit l’équivalent maintenant que les gens savent ce qu’est le « 8068 » – ne vous protégera pas des écrémeurs de guichets automatiques ou des pirates qui pénètrent dans les bases de données des sites qui ne cryptent pas les mots de passe des utilisateurs.
Les mots de passe des utilisateurs ne sont pas cryptés.