Njemačko-američki istraživački tim volontera i uporedio je sigurnost šestocifrenih i četvorocifrenih PIN kodova za zaključavanje pametnog telefona. Ako je vaš pametni telefon izgubljen ili ukraden, bolje je barem biti sigurni da će informacije biti zaštićene od hakovanja. je li tako?
Philipp Markert sa Instituta za IT sigurnost Horst Goertz na Univerzitetu Ruhr Bochum i Maximilian Golla sa Instituta Max Planck za sigurnost i privatnost otkrili su da psihologija u praksi dominira matematikom. Sa matematičke tačke gledišta, pouzdanost šestocifrenih PIN kodova je znatno veća od četvorocifrenih. Ali korisnici preferiraju određene kombinacije brojeva, pa se određeni PIN kodovi češće koriste i time se gotovo briše razlika u složenosti između šestocifrenih i četverocifrenih kodova.
U istraživanju su sudionici koristili Apple ili Android uređaje i postavljali četverocifreni ili šestocifreni PIN kod. Na Apple uređajima počevši od iOS 9 pojavila se crna lista zabranjenih digitalnih kombinacija za PIN kodove, čiji je odabir automatski zabranjen. Istraživači su imali obje crne liste pri ruci (za 6- i 4-cifrene kodove) i izvršili pretragu kombinacija na kompjuteru. Crna lista 4-cifrenih PIN kodova primljenih od Apple-a sadržavala je 274 broja, a šestocifrenih - 6.
Za Apple uređaje, korisniku se daje 10 pokušaja da unese PIN. Prema istraživačima, u ovom slučaju crna lista praktično nema smisla. Nakon 10 pokušaja, pokazalo se da je teško pogoditi tačan broj, čak i ako je vrlo jednostavan (kao 123456). Za Android uređaje, 11 unosa PIN koda može se napraviti za 100 sati, a u ovom slučaju crna lista je već pouzdanije sredstvo za sprječavanje korisnika da unese jednostavnu kombinaciju i sprječavanje hakiranja pametnog telefona brute force brojevima.
U eksperimentu je 1220 učesnika samostalno biralo PIN kodove, a eksperimentatori su pokušali da ih pogode u 10, 30 ili 100 pokušaja. Odabir kombinacija je obavljen na dva načina. Ako je crna lista bila omogućena, pametni telefoni su napadnuti bez korištenja brojeva sa liste. Bez uključene crne liste, odabir koda je započeo pretraživanjem brojeva sa crne liste (kao najčešće korištenih). Tokom eksperimenta pokazalo se da je mudro odabrani 4-cifreni PIN kod, iako ograničava broj pokušaja unosa, prilično siguran i čak nešto pouzdaniji od 6-cifrenog PIN koda.
Najčešći 4-cifreni PIN kodovi bili su 1234, 0000, 1111, 5555 i 2580 (ovo je okomita kolona na numeričkoj tastaturi). Dublja analiza je pokazala da bi idealna crna lista za četverocifrene PIN-ove trebala sadržavati oko 1000 unosa i biti malo drugačija od one koja je izvedena za Apple uređaje.
Konačno, istraživači su otkrili da su 4-cifreni i 6-cifreni PIN kodovi manje sigurni od lozinki, ali sigurniji od zaključavanja pametnih telefona zasnovanih na uzorcima. Pun će biti predstavljen u San Francisku u maju 2020. na IEEE simpoziju o sigurnosti i privatnosti.
izvor: 3dnews.ru