Γερμανοαμερικανική εθελοντική ερευνητική ομάδα και συνέκρινε την ασφάλεια εξαψήφιων και τετραψήφιων κωδικών PIN για το κλείδωμα smartphone. Εάν το smartphone σας χαθεί ή κλαπεί, είναι καλύτερα να είστε βέβαιοι τουλάχιστον ότι οι πληροφορίες θα προστατεύονται από το hacking. Είναι έτσι?
Ο Philipp Markert από το Ινστιτούτο Horst Goertz για την Ασφάλεια Πληροφορικής του Ruhr University Bochum και ο Maximilian Golla από το Max Planck Institute for Security and Privacy διαπίστωσαν ότι στην πράξη η ψυχολογία κυριαρχεί στα μαθηματικά. Από μαθηματική άποψη, η αξιοπιστία των εξαψήφιων κωδικών PIN είναι σημαντικά υψηλότερη από τους τετραψήφιους. Αλλά οι χρήστες προτιμούν ορισμένους συνδυασμούς αριθμών, επομένως ορισμένοι κωδικοί PIN χρησιμοποιούνται πιο συχνά και αυτό σχεδόν διαγράφει τη διαφορά στην πολυπλοκότητα μεταξύ εξαψήφιων και τετραψήφιων κωδικών.
Στη μελέτη, οι συμμετέχοντες χρησιμοποίησαν συσκευές Apple ή Android και όρισαν τετραψήφιους ή εξαψήφιους κωδικούς PIN. Σε συσκευές Apple που ξεκινούν με iOS 9, εμφανίστηκε μια μαύρη λίστα απαγορευμένων ψηφιακών συνδυασμών για κωδικούς PIN, η επιλογή των οποίων απαγορεύεται αυτόματα. Οι ερευνητές είχαν στη διάθεσή τους και τις δύο μαύρες λίστες (για 6- και 4-ψήφιους κωδικούς) και έκαναν αναζήτηση συνδυασμών στον υπολογιστή. Η μαύρη λίστα των 4-ψήφιων κωδικών PIN που ελήφθησαν από την Apple περιείχε 274 αριθμούς και 6ψήφιους - 2910.
Για συσκευές Apple, δίνονται στον χρήστη 10 προσπάθειες να εισαγάγει το PIN. Σύμφωνα με τους ερευνητές, σε αυτή την περίπτωση η μαύρη λίστα δεν έχει ουσιαστικά κανένα νόημα. Μετά από 10 προσπάθειες, αποδείχθηκε ότι ήταν δύσκολο να μαντέψει κανείς τον σωστό αριθμό, ακόμα κι αν είναι πολύ απλός (όπως το 123456). Για συσκευές Android, 11 καταχωρίσεις κωδικού PIN μπορούν να γίνουν σε 100 ώρες και σε αυτήν την περίπτωση, η μαύρη λίστα είναι ήδη ένα πιο αξιόπιστο μέσο για να αποτρέψει τον χρήστη από την είσοδο σε έναν απλό συνδυασμό και να αποτρέψει την παραβίαση του smartphone από αριθμούς ωμής βίας.
Στο πείραμα, 1220 συμμετέχοντες επέλεξαν ανεξάρτητα τους κωδικούς PIN και οι πειραματιστές προσπάθησαν να τους μαντέψουν σε 10, 30 ή 100 προσπάθειες. Η επιλογή των συνδυασμών έγινε με δύο τρόπους. Εάν η μαύρη λίστα ήταν ενεργοποιημένη, τα smartphone δέχονταν επίθεση χωρίς να χρησιμοποιηθούν αριθμοί από τη λίστα. Χωρίς ενεργοποιημένη τη μαύρη λίστα, η επιλογή κώδικα ξεκίνησε με την αναζήτηση αριθμών από τη μαύρη λίστα (ως τους πιο συχνά χρησιμοποιούμενους). Κατά τη διάρκεια του πειράματος, αποδείχθηκε ότι ένας σοφά επιλεγμένος 4ψήφιος κωδικός PIN, ενώ περιορίζει τον αριθμό των προσπαθειών εισόδου, είναι αρκετά ασφαλής και μάλιστα ελαφρώς πιο αξιόπιστος από έναν 6ψήφιο κωδικό PIN.
Οι πιο συνηθισμένοι τετραψήφιοι κωδικοί PIN ήταν 4, 1234, 0000, 1111 και 5555 (αυτή είναι η κάθετη στήλη στο αριθμητικό πληκτρολόγιο). Μια βαθύτερη ανάλυση έδειξε ότι η ιδανική μαύρη λίστα για τετραψήφιο PIN θα πρέπει να περιέχει περίπου 2580 καταχωρήσεις και να είναι ελαφρώς διαφορετική από αυτή που προέκυψε για τις συσκευές Apple.
Τέλος, οι ερευνητές διαπίστωσαν ότι οι τετραψήφιοι και οι 4ψήφιοι κωδικοί PIN είναι λιγότερο ασφαλείς από τους κωδικούς πρόσβασης, αλλά πιο ασφαλείς από τις κλειδαριές smartphone που βασίζονται σε μοτίβα. Γεμάτος θα παρουσιαστεί στο Σαν Φρανσίσκο τον Μάιο του 2020 στο IEEE Symposium on Security and Privacy.
Πηγή: 3dnews.ru