Gruppo di ricerca volontario tedesco-americano e ha confrontato la sicurezza dei codici PIN a sei e quattro cifre per il blocco dello smartphone. Se il tuo smartphone viene smarrito o rubato, è meglio essere almeno sicuri che le informazioni siano protette dagli attacchi hacker. È così?
Philipp Markert dell'Istituto Horst Goertz per la sicurezza informatica dell'Università della Ruhr di Bochum e Maximilian Golla dell'Istituto Max Planck per la sicurezza e la privacy hanno scoperto che nella pratica la psicologia domina la matematica. Da un punto di vista matematico, l'affidabilità dei codici PIN a sei cifre è notevolmente superiore a quella dei codici PIN a quattro cifre. Ma gli utenti preferiscono determinate combinazioni di numeri, quindi determinati codici PIN vengono utilizzati più spesso e questo quasi cancella la differenza di complessità tra i codici a sei e quattro cifre.
Nello studio, i partecipanti hanno utilizzato dispositivi Apple o Android e hanno impostato codici PIN a quattro o sei cifre. Sui dispositivi Apple a partire da iOS 9 è apparsa una lista nera di combinazioni digitali vietate per i codici PIN, la cui selezione è automaticamente vietata. I ricercatori avevano a portata di mano entrambe le liste nere (per i codici a 6 e 4 cifre) e hanno eseguito una ricerca di combinazioni sul computer. La lista nera dei codici PIN a 4 cifre ricevuta da Apple conteneva 274 numeri e quelli a 6 cifre - 2910.
Per i dispositivi Apple, all'utente vengono concessi 10 tentativi per inserire il PIN. Secondo i ricercatori in questo caso la lista nera non ha praticamente senso. Dopo 10 tentativi si è rivelato difficile indovinare il numero corretto, anche se molto semplice (come 123456). Per i dispositivi Android è possibile inserire 11 codici PIN in 100 ore e in questo caso la blacklist è già un mezzo più affidabile per impedire all'utente di inserire una combinazione semplice e impedire che lo smartphone venga hackerato da numeri a forza bruta.
Nell'esperimento, 1220 partecipanti hanno selezionato in modo indipendente i codici PIN e gli sperimentatori hanno provato a indovinarli in 10, 30 o 100 tentativi. La selezione delle combinazioni è stata effettuata in due modi. Se la lista nera era abilitata, gli smartphone venivano attaccati senza utilizzare i numeri della lista. Senza la blacklist abilitata, la selezione del codice iniziava con la ricerca tra i numeri della blacklist (come quelli utilizzati più frequentemente). Durante l'esperimento si è scoperto che un codice PIN a 4 cifre scelto con attenzione, pur limitando il numero di tentativi di immissione, è abbastanza sicuro e anche leggermente più affidabile di un codice PIN a 6 cifre.
I codici PIN a 4 cifre più comuni erano 1234, 0000, 1111, 5555 e 2580 (questa è la colonna verticale sul tastierino numerico). Da un'analisi più approfondita è emerso che la lista nera ideale per i PIN a quattro cifre dovrebbe contenere circa 1000 voci ed essere leggermente diversa da quella ricavata per i dispositivi Apple.
Infine, i ricercatori hanno scoperto che i codici PIN a 4 e 6 cifre sono meno sicuri delle password, ma più sicuri dei blocchi per smartphone basati su pattern. Pieno sarà presentato a San Francisco nel maggio 2020 all'IEEE Symposium on Security and Privacy.
Fonte: 3dnews.ru