Германско-американски доброволчески изследователски екип и сравни сигурността на шестцифрените и четирицифрените ПИН кодове за заключване на смартфон. Ако вашият смартфон бъде изгубен или откраднат, по-добре е поне да сте сигурни, че информацията ще бъде защитена от хакване. Така е?
Филип Маркерт от Института за ИТ сигурност Хорст Гьорц към Рурския университет в Бохум и Максимилиан Гола от Института за сигурност и поверителност Макс Планк установиха, че на практика психологията доминира над математиката. От математическа гледна точка надеждността на шестцифрените ПИН кодове е значително по-висока от четирицифрените. Но потребителите предпочитат определени комбинации от цифри, така че определени ПИН кодове се използват по-често и това почти изтрива разликата в сложността между шест- и четирицифрените кодове.
В проучването участниците са използвали устройства на Apple или Android и са задавали четири- или шестцифрени ПИН кодове. На устройства на Apple, започващи с iOS 9, се появи черен списък със забранени цифрови комбинации за ПИН кодове, чийто избор автоматично се забранява. Изследователите са имали и двата черни списъка под ръка (за 6- и 4-цифрени кодове) и са извършили търсене на комбинации на компютъра. Черният списък с 4-цифрени ПИН кодове, получен от Apple, съдържаше 274 числа, а 6-цифрените - 2910.
За устройства на Apple на потребителя се дават 10 опита за въвеждане на ПИН. Според изследователите в този случай черният списък практически няма смисъл. След 10 опита се оказа трудно да се познае вярното число, дори и да е много просто (като 123456). За устройства с Android 11 въвеждания на ПИН код могат да бъдат направени за 100 часа и в този случай черният списък вече е по-надеждно средство за предпазване на потребителя от въвеждане на проста комбинация и предотвратяване на хакване на смартфона чрез груба сила.
В експеримента 1220 участници независимо един от друг избират ПИН кодове, а експериментаторите се опитват да ги отгатнат в 10, 30 или 100 опита. Изборът на комбинации беше извършен по два начина. Ако черният списък беше активиран, смартфоните бяха атакувани, без да се използват номера от списъка. Без активиран черен списък, изборът на код започва с търсене на номера от черния списък (като най-често използвани). По време на експеримента се оказа, че разумно избраният 4-цифрен ПИН код, въпреки че ограничава броя на опитите за въвеждане, е доста сигурен и дори малко по-надежден от 6-цифрен ПИН код.
Най-често срещаните 4-цифрени ПИН кодове са 1234, 0000, 1111, 5555 и 2580 (това е вертикалната колона на цифровата клавиатура). По-задълбочен анализ показа, че идеалният черен списък за четирицифрени ПИН трябва да съдържа около 1000 записа и да е малко по-различен от този, който е получен за устройства на Apple.
И накрая, изследователите установиха, че 4-цифрените и 6-цифрените ПИН кодове са по-малко сигурни от паролите, но по-сигурни от заключванията на смартфони, базирани на модел. Пълна ще бъде представен в Сан Франциско през май 2020 г. на симпозиума на IEEE за сигурност и поверителност.
Източник: 3dnews.ru