Njemačko-američki volonterski istraživački tim te usporedili sigurnost šesteroznamenkastih i četveroznamenkastih PIN kodova za zaključavanje pametnog telefona. Ako je vaš pametni telefon izgubljen ili ukraden, bolje je barem biti siguran da će podaci biti zaštićeni od hakiranja. Je li tako?
Philipp Markert s Horst Goertz Instituta za IT sigurnost na Ruhrskom sveučilištu Bochum i Maximilian Golla s Max Planck Instituta za sigurnost i privatnost otkrili su da u praksi psihologija dominira matematikom. S matematičke točke gledišta, pouzdanost šesteroznamenkastih PIN kodova znatno je veća od četveroznamenkastih. No, korisnici preferiraju određene kombinacije brojeva, pa se određeni PIN kodovi koriste češće i time se gotovo briše razlika u složenosti kodova od šest i četiri znamenke.
U studiji su sudionici koristili Apple ili Android uređaje i postavili četvero- ili šesteroznamenkasti PIN kod. Na Apple uređajima počevši od iOS-a 9 pojavio se crni popis zabranjenih digitalnih kombinacija za PIN kodove, čiji je odabir automatski zabranjen. Istraživači su pri ruci imali obje crne liste (za 6- i 4-znamenkaste kodove) i pokrenuli su pretragu kombinacija na računalu. Crna lista 4-znamenkastih PIN kodova primljenih od Applea sadržavala je 274 broja, a 6-znamenkastih - 2910.
Za Apple uređaje korisnik ima 10 pokušaja za unos PIN-a. Prema istraživačima, u ovom slučaju crna lista nema praktički nikakvog smisla. Nakon 10 pokušaja, pokazalo se da je teško pogoditi točan broj, čak i ako je vrlo jednostavan (poput 123456). Za Android uređaje, 11 unosa PIN koda može se izvršiti u 100 sati, au ovom slučaju crna lista već je pouzdanije sredstvo za sprječavanje korisnika od unosa jednostavne kombinacije i sprječavanje hakiranja pametnog telefona brute force brojevima.
U eksperimentu je 1220 sudionika samostalno biralo PIN kodove, a eksperimentatori su ih pokušavali pogoditi u 10, 30 ili 100 pokušaja. Odabir kombinacija proveden je na dva načina. Ako je crna lista bila uključena, pametni telefoni su napadnuti bez korištenja brojeva s liste. Bez uključene crne liste odabir koda je započeo pretraživanjem brojeva s crne liste (kao najčešće korištenih). Tijekom eksperimenta pokazalo se da je mudro odabran 4-znamenkasti PIN kod, iako ograničava broj pokušaja unosa, prilično siguran i čak nešto pouzdaniji od 6-znamenkasti PIN koda.
Najčešći 4-znamenkasti PIN kodovi bili su 1234, 0000, 1111, 5555 i 2580 (ovo je okomiti stupac na numeričkoj tipkovnici). Dublja analiza pokazala je da bi idealna crna lista za četveroznamenkasti PIN trebala sadržavati oko 1000 unosa i biti malo drugačija od one koja je izvedena za Apple uređaje.
Konačno, istraživači su otkrili da su 4-znamenkasti i 6-znamenkasti PIN kodovi manje sigurni od lozinki, ali sigurniji od zaključavanja pametnog telefona na temelju uzorka. puna bit će predstavljen u San Franciscu u svibnju 2020. na IEEE Simpoziju o sigurnosti i privatnosti.
Izvor: 3dnews.ru