Equipo de investigación voluntario alemán-estadounidense e comparou a seguridade dos códigos PIN de seis e catro díxitos para o bloqueo do teléfono intelixente. Se o teu teléfono intelixente se perde ou se rouba, é mellor polo menos estar seguro de que a información estará protexida contra a piratería. É así?
Philipp Markert, do Instituto Horst Goertz para a Seguridade das TI da Universidade Ruhr de Bochum e Maximilian Golla, do Instituto Max Planck de Seguridade e Privacidade, descubriron que na práctica a psicoloxía domina as matemáticas. Desde o punto de vista matemático, a fiabilidade dos códigos PIN de seis díxitos é significativamente maior que os de catro díxitos. Pero os usuarios prefiren certas combinacións de números, polo que certos códigos PIN úsanse con máis frecuencia e isto case borra a diferenza de complexidade entre os códigos de seis e catro díxitos.
No estudo, os participantes utilizaron dispositivos Apple ou Android e estableceron códigos PIN de catro ou seis díxitos. Nos dispositivos de Apple que comezaban con iOS 9, apareceu unha lista negra de combinacións dixitais prohibidas para códigos PIN, cuxa selección está automaticamente prohibida. Os investigadores tiñan á man ambas listas negras (para códigos de 6 e 4 díxitos) e realizaron unha busca de combinacións no ordenador. A lista negra de códigos PIN de 4 díxitos recibidos de Apple contiña 274 números e os de 6 díxitos - 2910.
Para os dispositivos Apple, o usuario ten 10 intentos para introducir o PIN. Segundo os investigadores, neste caso a lista negra practicamente non ten sentido. Despois de 10 intentos, resultou difícil adiviñar o número correcto, aínda que sexa moi sinxelo (como 123456). Para os dispositivos Android pódense introducir 11 códigos PIN en 100 horas e, neste caso, a lista negra xa é un medio máis fiable para evitar que o usuario introduza unha combinación sinxela e evitar que o smartphone sexa pirateado por números de forza bruta.
No experimento, 1220 participantes seleccionaron de xeito independente os códigos PIN e os experimentadores intentaron adiviñalos en 10, 30 ou 100 intentos. A selección de combinacións realizouse de dúas formas. Se a lista negra estaba activada, os teléfonos intelixentes eran atacados sen usar os números da lista. Sen a lista negra activada, a selección do código comezou coa busca de números da lista negra (como os máis utilizados). Durante o experimento, resultou que un código PIN de 4 díxitos sabiamente elixido, aínda que limita o número de intentos de entrada, é bastante seguro e incluso un pouco máis fiable que un código PIN de 6 díxitos.
Os códigos PIN de 4 díxitos máis comúns foron 1234, 0000, 1111, 5555 e 2580 (esta é a columna vertical do teclado numérico). Unha análise máis profunda mostrou que a lista negra ideal para PIN de catro díxitos debería conter unhas 1000 entradas e ser lixeiramente diferente da que se derivou para os dispositivos Apple.
Finalmente, os investigadores descubriron que os códigos PIN de 4 e 6 díxitos son menos seguros que os contrasinais, pero máis seguros que os bloqueos dos teléfonos intelixentes baseados en patróns. Cheo presentarase en San Francisco en maio de 2020 no Simposio IEEE sobre Seguridade e Privacidade.
Fonte: 3dnews.ru