Þýsk-amerískt rannsóknarteymi sjálfboðaliða og borið saman öryggi sex stafa og fjögurra stafa PIN-kóða fyrir snjallsímalæsingu. Ef snjallsíminn þinn er týndur eða honum er stolið er betra að vera að minnsta kosti viss um að upplýsingarnar verði verndaðar gegn innbroti. Er það svo?
Philipp Markert frá Horst Goertz Institute for IT Security við Ruhr háskólann í Bochum og Maximilian Golla frá Max Planck Institute for Security and Privacy komust að því að í reynd er sálfræði ráðandi í stærðfræði. Frá stærðfræðilegu sjónarhorni er áreiðanleiki sex stafa PIN-kóða umtalsvert meiri en fjögurra stafa. En notendur kjósa ákveðnar samsetningar númera, þannig að ákveðnir PIN-kóðar eru notaðir oftar og það þurrkar nánast út muninn á margbreytileika sex og fjögurra stafa kóða.
Í rannsókninni notuðu þátttakendur Apple eða Android tæki og stilltu fjögurra eða sex stafa PIN-númer. Í Apple tækjum sem byrja með iOS 9 birtist svartur listi yfir bannaðar stafrænar samsetningar fyrir PIN-númer, val þeirra er sjálfkrafa bannað. Rannsakendur höfðu báða svarta lista við höndina (fyrir 6 og 4 stafa kóða) og leituðu samsetningar í tölvunni. Svarti listinn yfir 4 stafa PIN-númer sem barst frá Apple innihélt 274 númer og 6 stafa - 2910.
Fyrir Apple tæki fær notandinn 10 tilraunir til að slá inn PIN-númerið. Samkvæmt vísindamönnum er svarti listinn nánast ekkert vit í þessu tilviki. Eftir 10 tilraunir reyndist erfitt að giska á rétta tölu, jafnvel þótt hún sé mjög einföld (eins og 123456). Fyrir Android tæki er hægt að slá inn 11 PIN-kóða á 100 klukkustundum, og í þessu tilfelli er svarti listinn nú þegar áreiðanlegri leið til að koma í veg fyrir að notandinn fari inn í einfalda samsetningu og koma í veg fyrir að snjallsíminn verði tölvusnápur af brute force númerum.
Í tilrauninni völdu 1220 þátttakendur sjálfstætt PIN-númer og reyndu tilraunamenn að giska á þá í 10, 30 eða 100 tilraunum. Val á samsetningum fór fram á tvo vegu. Ef svarti listinn var virkur var ráðist á snjallsíma án þess að nota tölur af listanum. Án þess að svarti listinn væri virkur byrjaði kóðaval með því að leita í númerum af svarta listanum (sem þær sem oftast eru notaðar). Í tilrauninni kom í ljós að skynsamlega valinn 4 stafa PIN númer, en takmarkar fjölda inngöngutilrauna, er nokkuð öruggt og jafnvel örlítið áreiðanlegra en 6 stafa PIN númer.
Algengustu fjögurra stafa PIN-númerin voru 4, 1234, 0000, 1111 og 5555 (þetta er lóðrétti dálkurinn á talnatakkaborðinu). Dýpri greining sýndi að ákjósanlegur svartur listi fyrir fjögurra stafa PIN-númer ætti að innihalda um 2580 færslur og vera aðeins frábrugðinn þeim sem var fenginn fyrir Apple tæki.
Að lokum komust rannsakendur að því að 4-stafa og 6-stafa PIN-númer eru minna örugg en lykilorð, en öruggari en snjallsímalásar sem byggja á mynstri. Fullt verður kynnt í San Francisco í maí 2020 á IEEE Symposium on Security and Privacy.
Heimild: 3dnews.ru