Нямецка-амерыканская каманда даследчыкаў з прыцягненнем добраахвотнікаў і параўнала бяспеку шасцізнакавых і чатырохзначных PIN-кодаў для блакавання смартфонаў. У выпадку страты або крадзяжу смартфона лепш быць упэўненым хаця б у тым, што інфармацыя апынецца абароненай ад узлому. Ці так гэта?
Філіп Маркерт з Інстытута ІТ-бяспекі Хорста Герца Рурскага ўніверсітэта Бохума і Максіміліян Гола з Інстытута бяспекі і канфідэнцыйнасці імя Макса Планка высветлілі, што на практыцы псіхалогія ўплывае над матэматыкай. З матэматычнага пункту гледжання, надзейнасць шасцізначных PIN-кодаў істотна вышэйшая, чым чатырохзначных. Але карыстачы аддаюць перавагу вызначаныя камбінацыі лічбаў, таму некаторыя PIN-коды выкарыстоўваюцца часцей і гэта амаль сцірае розніцу ў складанасці паміж шасці-і чатырохзначны кодамі.
У даследаванні ўдзельнікі эксперыментаў выкарыстоўвалі прылады Apple або Android і ўсталёўвалі чатырох-ці шасцізнакавыя PIN-коды. На прыладах Apple з версіі iOS 9 з'явіўся чорны спіс забароненых лічбавых камбінацый для PIN-кодаў, выбар якіх аўтаматычна забаронены. Даследнікі мелі на руках як абодва чорныя спісы (для 6- і 4-знакавых кодаў), так і запускалі перабор камбінацый на кампутары. Чорны спіс атрыманых ад Apple 4-знакавых PIN-кодаў утрымліваў 274 нумары, а 6-знакавых ― 2910.
Для прылад Apple карыстачу даецца 10 спроб увесці PIN-код. Па меркаванні даследнікаў, у такім выпадку чорны спіс практычна не мае сэнсу. За 10 спроб аказалася складана адгадаць правільны нумар, нават калі ён вельмі просты (тыпу 123456). Для прылад Android за 11 гадзін можна здзейсніць 100 уводаў PIN-кода, і ў дадзеным выпадку чорны спіс ужо з'яўляецца больш надзейным сродкам утрымаць карыстальніка ад уводу простай камбінацыі і не дапусціць узлом смартфона шляхам перабору нумароў.
У эксперыменце 1220 удзельнікаў самастойна выбіралі PIN-коды, а эксперыментатары спрабавалі адгадаць іх за 10, 30 ці 100 спроб. Падбор камбінацый праводзіўся двума спосабамі. Калі ўключаўся чорны спіс, смартфоны атакаваліся без выкарыстання нумароў са спісу. Без уключанага чорнага спісу падбор кода пачынаўся з перабору нумароў з чорнага спісу (як найбольш часта выкарыстоўваюцца). Падчас эксперыменту высветлілася, што разумна абраны 4-знакавы PIN-код пры абмежаванні ліку спроб уводу досыць бяспечны і нават трохі надзейней 6-значнага.
Найбольш распаўсюджанымі 4-знакавымі PIN-кодамі апынуліся камбінацыі 1234, 0000, 1111, 5555 і 2580 (гэта вертыкальны слупок на лічбавай клавіятуры). Больш глыбокі аналіз паказаў, што ідэальны чорны спіс для чатырохзнакавых PIN павінен утрымоўваць каля 1000 запісаў і трохі адрознівацца ад таго, які быў выведзены для прылад Apple.
Нарэшце, даследнікі высветлілі, што 4-знакавыя і 6-знакавыя PIN-коды меней бяспечныя, чым паролі, але больш надзейныя, чым графічнае блакаванне смартфонаў (па шаблонах). Поўны будзе прадстаўлены ў Сан-Францыска ў маі 2020 года на канферэнцыі IEEE Symposium on Security and Privacy.
Крыніца: 3dnews.ru