Německo-americký dobrovolnický výzkumný tým a porovnal bezpečnost šestimístného a čtyřmístného PIN kódu pro zamykání smartphonu. Pokud dojde ke ztrátě nebo odcizení smartphonu, je lepší mít alespoň jistotu, že informace budou chráněny před hackováním. Je to tak?
Philipp Markert z Institutu Horsta Goertze pro bezpečnost IT na Ruhr University Bochum a Maximilian Golla z Institutu Maxe Plancka pro bezpečnost a soukromí zjistili, že v praxi matematice dominuje psychologie. Z matematického hlediska je spolehlivost šestimístných PIN kódů výrazně vyšší než čtyřmístných. Uživatelé ale preferují určité kombinace čísel, takže určité PIN kódy se používají častěji a tím se téměř smazává rozdíl ve složitosti mezi šesti a čtyřmístnými kódy.
Ve studii účastníci používali zařízení Apple nebo Android a nastavovali čtyř- nebo šestimístné PIN kódy. Na zařízeních Apple počínaje iOS 9 se objevila černá listina zakázaných digitálních kombinací pro PIN kódy, jejichž výběr je automaticky zakázán. Vědci měli po ruce obě černé listiny (pro 6- a 4místné kódy) a spustili vyhledávání kombinací na počítači. Černá listina čtyřmístných PIN kódů přijatých od společnosti Apple obsahovala 4 čísel a 274místná - 6.
U zařízení Apple má uživatel k zadání PIN 10 pokusů. Podle výzkumníků v tomto případě černá listina prakticky nedává smysl. Po 10 pokusech se ukázalo, že je obtížné uhodnout správné číslo, i když je to velmi jednoduché (jako 123456). U zařízení se systémem Android lze za 11 hodin provést 100 zadání PIN kódu a v tomto případě je blacklist již spolehlivějším prostředkem, jak zabránit uživateli v zadání jednoduché kombinace a zabránit hacknutí smartphonu čísly hrubé síly.
V experimentu si 1220 účastníků nezávisle vybralo PIN kódy a experimentátoři se je pokusili uhodnout na 10, 30 nebo 100 pokusů. Výběr kombinací byl proveden dvěma způsoby. Pokud byla povolena černá listina, byly napadeny chytré telefony bez použití čísel ze seznamu. Bez aktivace blacklistu začal výběr kódu vyhledáváním čísel z blacklistu (jako nejčastěji používaných). Během experimentu se ukázalo, že moudře zvolený 4místný PIN kód je při omezení počtu pokusů o zadání vcelku bezpečný a dokonce o něco spolehlivější než 6místný PIN kód.
Nejběžnější 4místné PIN kódy byly 1234, 0000, 1111, 5555 a 2580 (toto je svislý sloupec na numerické klávesnici). Hlubší analýza ukázala, že ideální blacklist pro čtyřmístné PINy by měl obsahovat asi 1000 záznamů a měl by se mírně lišit od toho, který byl odvozen pro zařízení Apple.
Nakonec výzkumníci zjistili, že 4místné a 6místné PIN kódy jsou méně bezpečné než hesla, ale bezpečnější než zámky smartphonů založené na vzorech. Plný bude představen v San Franciscu v květnu 2020 na IEEE Symposium on Security and Privacy.
Zdroj: 3dnews.ru