Германско-американски волонтерски истражувачки тим и ја спореди безбедноста на шестцифрените и четирицифрените ПИН кодови за заклучување на паметни телефони. Ако вашиот паметен телефон е изгубен или украден, подобро е барем да бидете сигурни дека информациите ќе бидат заштитени од хакирање. Дали е така?
Филип Маркерт од Институтот за ИТ безбедност Хорст Герц на Универзитетот Рур во Бохум и Максимилијан Гола од Институтот за безбедност и приватност Макс Планк открија дека во пракса психологијата доминира во математиката. Од математичка гледна точка, веродостојноста на шестцифрените ПИН кодови е значително повисока од четирицифрените. Но, корисниците претпочитаат одредени комбинации на броеви, така што одредени PIN-кодови се користат почесто и тоа речиси ја брише разликата во сложеноста помеѓу шестцифрените и четирицифрените кодови.
Во студијата, учесниците користеле уреди на Apple или Android и поставувале четири или шестцифрени PIN кодови. На уредите на Apple кои започнуваат со iOS 9, се појави црна листа на забранети дигитални комбинации за PIN-кодови, чиј избор е автоматски забранет. Истражувачите ги имаа при рака двете црни листи (за шифри со 6 и 4 цифри) и извршија пребарување на комбинации на компјутерот. Црната листа на 4-цифрени ПИН-кодови добиени од Apple содржела 274 броеви, а 6-цифрените - 2910.
За уредите на Apple, на корисникот му се даваат 10 обиди да го внесе PIN-от. Според истражувачите, во овој случај црната листа практично нема смисла. По 10 обиди, се покажа дека е тешко да се погоди точниот број, дури и ако е многу едноставен (како 123456). За уредите со Android, 11 внесувања на PIN код може да се направат за 100 часа, а во овој случај, црната листа е веќе посигурно средство за спречување на корисникот да влезе во едноставна комбинација и спречување на смартфонот да биде хакиран со бројки со брутална сила.
Во експериментот, 1220 учесници независно избрале ПИН-кодови, а експериментаторите се обиделе да ги погодат во 10, 30 или 100 обиди. Изборот на комбинации беше извршен на два начина. Ако црната листа беше овозможена, паметните телефони беа нападнати без користење на броеви од списокот. Без вклучена црна листа, изборот на код започна со пребарување низ броеви од црната листа (како најчесто користени). За време на експериментот, се покажа дека мудро избраниот 4-цифрен ПИН-код, иако го ограничува бројот на обиди за внесување, е прилично безбеден и дури малку посигурен од 6-цифрениот ПИН-код.
Најчестите 4-цифрени PIN кодови беа 1234, 0000, 1111, 5555 и 2580 (ова е вертикалната колона на нумеричката тастатура). Подлабоката анализа покажа дека идеалната црна листа за четирицифрени PIN-кодови треба да содржи околу 1000 записи и да биде малку поинаква од онаа што беше изведена за уредите на Apple.
Конечно, истражувачите открија дека 4-цифрените и 6-цифрените PIN-кодови се помалку безбедни од лозинките, но побезбедни од бравите за паметни телефони базирани на шема. Полна ќе биде претставен во Сан Франциско во мај 2020 година на IEEE Symposium on Security and Privacy.
Извор: 3dnews.ru