Német-amerikai önkéntes kutatócsoport és összehasonlította a hat- és négyjegyű PIN-kódok biztonságát az okostelefonok zárolásához. Ha okostelefonja elveszett vagy ellopták, jobb, ha legalább biztos abban, hogy az információ védve lesz a feltöréstől. így van?
Philipp Markert, a bochumi Ruhr Egyetem Horst Goertz IT-biztonsági intézetétől és Maximilian Golla, a Max Planck Biztonsági és Adatvédelmi Intézettől azt találták, hogy a gyakorlatban a pszichológia uralja a matematikát. Matematikai szempontból a hatjegyű PIN kódok megbízhatósága lényegesen magasabb, mint a négyjegyűek. A felhasználók azonban előnyben részesítenek bizonyos számkombinációkat, ezért bizonyos PIN-kódokat gyakrabban használnak, és ez szinte eltünteti a hat- és négyjegyű kódok bonyolultsági különbségét.
A vizsgálatban a résztvevők Apple vagy Android készülékeket használtak, és négy- vagy hatjegyű PIN-kódokat állítottak be. Az iOS 9-től kezdődő Apple-eszközökön megjelent a PIN-kódok tiltott digitális kombinációinak fekete listája, amelyek kiválasztása automatikusan tilos. A kutatók mindkét feketelistát kéznél voltak (6 és 4 számjegyű kódokhoz), és a kombinációk keresését végezték el a számítógépen. Az Apple-től kapott 4 számjegyű PIN-kódok feketelistája 274 számot tartalmazott, a hatjegyűek pedig 6-et.
Apple készülékek esetén a felhasználó 10 alkalommal próbálja beírni a PIN-kódot. A kutatók szerint ebben az esetben a feketelistának gyakorlatilag semmi értelme. 10 próbálkozás után nehéznek bizonyult kitalálni a helyes számot, még akkor is, ha az nagyon egyszerű (például 123456). Androidos készülékeknél 11 óra alatt 100 PIN-kódot lehet megadni, és ebben az esetben a feketelista már megbízhatóbb eszköz arra, hogy a felhasználó ne írjon be egy egyszerű kombinációt, és megakadályozza, hogy a brute force számok feltörjék az okostelefont.
A kísérletben 1220 résztvevő egymástól függetlenül választott ki PIN kódokat, és a kísérletezők 10, 30 vagy 100 kísérletben próbálták kitalálni azokat. A kombinációk kiválasztása kétféle módon történt. Ha a feketelista engedélyezve volt, az okostelefonokat a listán szereplő számok használata nélkül támadták meg. A tiltólista bekapcsolása nélkül a kódválasztás a feketelistáról (mint a leggyakrabban használt számok közül) való kereséssel kezdődött. A kísérlet során kiderült, hogy egy okosan megválasztott 4 számjegyű PIN-kód, bár korlátozza a belépési kísérletek számát, meglehetősen biztonságos és még valamivel megbízhatóbb is, mint a 6 számjegyű PIN-kód.
A leggyakoribb 4 számjegyű PIN kódok a 1234, 0000, 1111, 5555 és 2580 voltak (ez a numerikus billentyűzet függőleges oszlopa). Egy mélyebb elemzés kimutatta, hogy a négyjegyű PIN-kódok ideális feketelistájának körülbelül 1000 bejegyzést kell tartalmaznia, és kissé eltérnie kell az Apple-eszközökhöz készülttől.
Végül a kutatók azt találták, hogy a 4- és 6-jegyű PIN-kódok kevésbé biztonságosak, mint a jelszavak, de biztonságosabbak, mint a mintaalapú okostelefon-zárak. Teljes 2020 májusában San Franciscóban mutatják be az IEEE Biztonsági és Adatvédelmi Szimpóziumán.
Forrás: 3dnews.ru