تیم تحقیقاتی داوطلب آلمانی-آمریکایی
فیلیپ مارکرت از موسسه هورست گورتز برای امنیت فناوری اطلاعات در دانشگاه روهر بوخوم و ماکسیمیلیان گولا از موسسه امنیت و حریم خصوصی ماکس پلانک دریافتند که در عمل روانشناسی بر ریاضیات غالب است. از دیدگاه ریاضی، قابلیت اطمینان کدهای پین شش رقمی به طور قابل توجهی بالاتر از کدهای چهار رقمی است. اما کاربران ترکیب خاصی از اعداد را ترجیح می دهند، بنابراین کدهای پین خاص بیشتر مورد استفاده قرار می گیرند و این تقریباً تفاوت پیچیدگی بین کدهای شش رقمی و چهار رقمی را پاک می کند.
در این مطالعه، شرکت کنندگان از دستگاه های اپل یا اندروید استفاده کردند و کدهای پین چهار یا شش رقمی را تنظیم کردند. در دستگاه های اپل که با iOS 9 شروع می شوند، لیست سیاهی از ترکیبات دیجیتال ممنوع برای کدهای پین ظاهر شد که انتخاب آنها به طور خودکار ممنوع است. محققان هر دو لیست سیاه را در دست داشتند (برای کدهای 6 و 4 رقمی) و جستجوی ترکیبات را در رایانه انجام دادند. لیست سیاه کدهای پین 4 رقمی دریافت شده از اپل شامل 274 شماره و 6 رقمی - 2910 بود.
برای دستگاه های اپل، کاربر 10 بار تلاش می کند تا پین را وارد کند. به گفته محققان، در این مورد لیست سیاه عملاً معنی ندارد. پس از 10 بار تلاش، حدس زدن عدد صحیح دشوار است، حتی اگر بسیار ساده باشد (مانند 123456). برای دستگاههای اندرویدی، 11 کد پین را میتوان در 100 ساعت وارد کرد، و در این مورد، لیست سیاه در حال حاضر ابزار مطمئنتری برای جلوگیری از ورود کاربر به یک ترکیب ساده و جلوگیری از هک شدن گوشی هوشمند توسط اعداد brute force است.
در این آزمایش، 1220 شرکتکننده بهطور مستقل کدهای پین را انتخاب کردند و آزمایشکنندگان سعی کردند آنها را در 10، 30 یا 100 بار حدس بزنند. انتخاب ترکیبات به دو صورت انجام شد. اگر لیست سیاه فعال بود، گوشی های هوشمند بدون استفاده از اعداد لیست مورد حمله قرار می گرفتند. بدون فعال بودن لیست سیاه، انتخاب کد با جستجوی اعداد از لیست سیاه (به عنوان پرکاربردترین آنها) آغاز شد. در طول آزمایش، مشخص شد که یک کد پین 4 رقمی عاقلانه انتخاب شده، در حالی که تعداد تلاشهای ورود را محدود میکند، کاملا امن و حتی کمی قابل اعتمادتر از یک کد پین 6 رقمی است.
رایج ترین کدهای پین 4 رقمی 1234، 0000، 1111، 5555 و 2580 بودند (این ستون عمودی روی صفحه کلید عددی است). تجزیه و تحلیل عمیق تر نشان داد که لیست سیاه ایده آل برای پین های چهار رقمی باید حدود 1000 ورودی داشته باشد و کمی متفاوت از لیستی باشد که برای دستگاه های اپل مشتق شده است.
در نهایت، محققان دریافتند که کدهای پین 4 رقمی و 6 رقمی نسبت به گذرواژهها امنیت کمتری دارند، اما از قفلهای مبتنی بر الگوی گوشیهای هوشمند امنتر هستند. پر شده
منبع: 3dnews.ru