Equipo de investigación voluntario alemán-estadounidense y comparó la seguridad de códigos PIN de seis y cuatro dígitos para el bloqueo de teléfonos inteligentes. Si pierde o le roban su teléfono inteligente, es mejor al menos asegurarse de que la información estará protegida contra la piratería. ¿Es tan?
Philipp Markert, del Instituto Horst Goertz para la Seguridad TI de la Universidad del Ruhr en Bochum, y Maximilian Golla, del Instituto Max Planck para la Seguridad y la Privacidad, descubrieron que en la práctica la psicología domina las matemáticas. Desde un punto de vista matemático, la fiabilidad de los códigos PIN de seis dígitos es significativamente mayor que la de los de cuatro dígitos. Pero los usuarios prefieren ciertas combinaciones de números, por lo que ciertos códigos PIN se usan con más frecuencia y esto casi borra la diferencia en complejidad entre los códigos de seis y cuatro dígitos.
En el estudio, los participantes utilizaron dispositivos Apple o Android y establecieron códigos PIN de cuatro o seis dígitos. En los dispositivos Apple a partir de iOS 9, apareció una lista negra de combinaciones digitales prohibidas para códigos PIN, cuya selección está prohibida automáticamente. Los investigadores tenían ambas listas negras a mano (para códigos de 6 y 4 dígitos) y realizaron una búsqueda de combinaciones en la computadora. La lista negra de códigos PIN de 4 dígitos recibida de Apple contenía 274 números y los de 6 dígitos, 2910.
Para los dispositivos Apple, el usuario tiene 10 intentos para ingresar el PIN. Según los investigadores, en este caso la lista negra prácticamente no tiene sentido. Después de 10 intentos, resultó difícil adivinar el número correcto, aunque sea muy simple (como 123456). Para los dispositivos Android, se pueden ingresar 11 códigos PIN en 100 horas y, en este caso, la lista negra ya es un medio más confiable para evitar que el usuario ingrese una combinación simple y evitar que el teléfono inteligente sea pirateado por números de fuerza bruta.
En el experimento, 1220 participantes seleccionaron códigos PIN de forma independiente y los experimentadores intentaron adivinarlos en 10, 30 o 100 intentos. La selección de combinaciones se realizó de dos formas. Si la lista negra estaba habilitada, los teléfonos inteligentes eran atacados sin utilizar números de la lista. Sin la lista negra habilitada, la selección del código comenzaba buscando entre los números de la lista negra (como los más utilizados). Durante el experimento, resultó que un código PIN de 4 dígitos elegido sabiamente, si bien limita el número de intentos de entrada, es bastante seguro e incluso un poco más confiable que un código PIN de 6 dígitos.
Los códigos PIN de 4 dígitos más comunes fueron 1234, 0000, 1111, 5555 y 2580 (esta es la columna vertical del teclado numérico). Un análisis más profundo mostró que la lista negra ideal para PIN de cuatro dígitos debería contener alrededor de 1000 entradas y ser ligeramente diferente de la que se derivó para los dispositivos Apple.
Finalmente, los investigadores descubrieron que los códigos PIN de 4 y 6 dígitos son menos seguros que las contraseñas, pero más seguros que los bloqueos de teléfonos inteligentes basados en patrones. Lleno se presentará en San Francisco en mayo de 2020 en el Simposio IEEE sobre Seguridad y Privacidad.
Fuente: 3dnews.ru