Tysk-amerikanske frivillige forskerhold og sammenlignede sikkerheden ved sekscifrede og firecifrede PIN-koder til smartphonelåsning. Hvis din smartphone går tabt eller bliver stjålet, er det bedre i det mindste at være sikker på, at oplysningerne bliver beskyttet mod hacking. Er det sådan?
Philipp Markert fra Horst Goertz Instituttet for IT-sikkerhed ved Ruhr Universitetet i Bochum og Maximilian Golla fra Max Planck Instituttet for Sikkerhed og Privatliv fandt ud af, at psykologien i praksis dominerer matematikken. Fra et matematisk synspunkt er pålideligheden af sekscifrede PIN-koder væsentligt højere end firecifrede. Men brugere foretrækker visse kombinationer af tal, så visse PIN-koder bruges oftere, og det fjerner næsten forskellen i kompleksitet mellem seks- og firecifrede koder.
I undersøgelsen brugte deltagerne Apple- eller Android-enheder og indstillede fire- eller sekscifrede PIN-koder. På Apple-enheder, der starter med iOS 9, dukkede en sort liste over forbudte digitale kombinationer af PIN-koder op, hvis valg automatisk er forbudt. Forskerne havde begge sortlister ved hånden (for 6- og 4-cifrede koder) og kørte en søgning af kombinationer på computeren. Sortlisten over 4-cifrede PIN-koder modtaget fra Apple indeholdt 274 numre og 6-cifrede - 2910.
For Apple-enheder får brugeren 10 forsøg på at indtaste PIN-koden. Ifølge forskere giver sortlisten i dette tilfælde stort set ingen mening. Efter 10 forsøg viste det sig at være svært at gætte det rigtige tal, selvom det er meget simpelt (som 123456). For Android-enheder kan 11 PIN-kodeindtastninger foretages på 100 timer, og i dette tilfælde er sortlisten allerede et mere pålideligt middel til at forhindre brugeren i at indtaste en simpel kombination og forhindre, at smartphonen bliver hacket af brute force-numre.
I eksperimentet udvalgte 1220 deltagere uafhængigt pinkoder, og forsøgsledere forsøgte at gætte dem i 10, 30 eller 100 forsøg. Udvælgelsen af kombinationer blev udført på to måder. Hvis sortlisten var aktiveret, blev smartphones angrebet uden at bruge numre fra listen. Uden sortlisten aktiveret begyndte kodevalg med at søge gennem numre fra sortlisten (som de mest brugte). Under forsøget viste det sig, at en klogt valgt 4-cifret PIN-kode, mens den begrænser antallet af indtastningsforsøg, er ganske sikker og endda lidt mere pålidelig end en 6-cifret PIN-kode.
De mest almindelige 4-cifrede PIN-koder var 1234, 0000, 1111, 5555 og 2580 (dette er den lodrette kolonne på det numeriske tastatur). En dybere analyse viste, at den ideelle sortliste for firecifrede PIN-koder skulle indeholde omkring 1000 poster og være lidt anderledes end den, der blev afledt til Apple-enheder.
Endelig fandt forskerne ud af, at 4-cifrede og 6-cifrede PIN-koder er mindre sikre end adgangskoder, men mere sikre end mønsterbaserede smartphonelåse. Fuld vil blive præsenteret i San Francisco i maj 2020 på IEEE Symposium on Security and Privacy.
Kilde: 3dnews.ru