Deutsch-amerikanisches ehrenamtliches Forschungsteam und verglich die Sicherheit von sechsstelligen und vierstelligen PIN-Codes für die Smartphone-Sperre. Wenn Ihr Smartphone verloren geht oder gestohlen wird, ist es besser, zumindest sicherzustellen, dass die Informationen vor Hackerangriffen geschützt sind. Ist es so?
Philipp Markert vom Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum und Maximilian Golla vom Max-Planck-Institut für Sicherheit und Privatsphäre stellten fest, dass in der Praxis die Psychologie die Mathematik dominiert. Aus mathematischer Sicht ist die Zuverlässigkeit von sechsstelligen PIN-Codes deutlich höher als die von vierstelligen. Da Benutzer jedoch bestimmte Zahlenkombinationen bevorzugen, werden bestimmte PIN-Codes häufiger verwendet, wodurch der Unterschied in der Komplexität zwischen sechs- und vierstelligen Codes nahezu ausgeglichen wird.
In der Studie verwendeten die Teilnehmer Apple- oder Android-Geräte und legten vier- oder sechsstellige PIN-Codes fest. Auf Apple-Geräten ab iOS 9 erschien eine schwarze Liste verbotener digitaler Kombinationen für PIN-Codes, deren Auswahl automatisch verboten ist. Die Forscher hatten beide Sperrlisten zur Hand (für 6- und 4-stellige Codes) und führten am Computer eine Suche nach Kombinationen durch. Die von Apple erhaltene schwarze Liste der 4-stelligen PIN-Codes enthielt 274 Nummern und 6-stellige - 2910.
Bei Apple-Geräten hat der Benutzer 10 Versuche, die PIN einzugeben. Den Forschern zufolge macht die schwarze Liste in diesem Fall praktisch keinen Sinn. Nach 10 Versuchen stellte sich heraus, dass es schwierig war, die richtige Zahl zu erraten, auch wenn sie sehr einfach ist (wie 123456). Bei Android-Geräten können 11 PIN-Code-Eingaben in 100 Stunden vorgenommen werden. In diesem Fall ist die Blacklist bereits ein zuverlässigeres Mittel, um den Benutzer von der Eingabe einer einfachen Kombination abzuhalten und zu verhindern, dass das Smartphone durch Brute-Force-Nummern gehackt wird.
Im Experiment wählten 1220 Teilnehmer unabhängig voneinander PIN-Codes aus und die Experimentatoren versuchten, diese in 10, 30 oder 100 Versuchen zu erraten. Die Auswahl der Kombinationen erfolgte auf zwei Arten. Bei aktivierter Blacklist wurden Smartphones angegriffen, ohne Nummern aus der Liste zu verwenden. Ohne aktivierte Blacklist begann die Codeauswahl mit der Suche nach Nummern aus der Blacklist (die am häufigsten verwendeten Nummern). Während des Experiments stellte sich heraus, dass ein klug gewählter 4-stelliger PIN-Code zwar die Anzahl der Eingabeversuche begrenzt, aber recht sicher und sogar etwas zuverlässiger ist als ein 6-stelliger PIN-Code.
Die gebräuchlichsten 4-stelligen PIN-Codes waren 1234, 0000, 1111, 5555 und 2580 (dies ist die vertikale Spalte auf dem Ziffernblock). Eine genauere Analyse ergab, dass die ideale Blacklist für vierstellige PINs etwa 1000 Einträge umfassen sollte und sich geringfügig von der für Apple-Geräte abgeleiteten unterscheiden sollte.
Schließlich fanden die Forscher heraus, dass 4- und 6-stellige PIN-Codes weniger sicher sind als Passwörter, aber sicherer als musterbasierte Smartphone-Sperren. Voll wird im Mai 2020 in San Francisco auf dem IEEE Symposium on Security and Privacy vorgestellt.
Source: 3dnews.ru