Duits-Amerikaans vrijwilligersonderzoeksteam en vergeleek de veiligheid van zescijferige en viercijferige pincodes voor het vergrendelen van smartphones. Als uw smartphone kwijtraakt of wordt gestolen, kunt u er beter zeker van zijn dat de informatie beschermd is tegen hacking. Is dat zo?
Philipp Markert van het Horst Goertz Instituut voor IT-beveiliging van de Ruhr Universiteit Bochum en Maximilian Golla van het Max Planck Instituut voor Veiligheid en Privacy ontdekten dat psychologie in de praktijk de wiskunde domineert. Vanuit wiskundig oogpunt is de betrouwbaarheid van zescijferige pincodes aanzienlijk hoger dan die van vier cijfers. Maar gebruikers geven de voorkeur aan bepaalde cijfercombinaties, waardoor bepaalde pincodes vaker worden gebruikt en dit het verschil in complexiteit tussen zes- en viercijferige codes bijna wegneemt.
In het onderzoek gebruikten de deelnemers Apple- of Android-apparaten en stelden ze vier- of zescijferige pincodes in. Op Apple-apparaten vanaf iOS 9 verscheen een zwarte lijst met verboden digitale combinaties voor pincodes, waarvan de selectie automatisch verboden is. De onderzoekers hadden beide zwarte lijsten bij de hand (voor 6- en 4-cijferige codes) en zochten naar combinaties op de computer. De zwarte lijst met 4-cijferige pincodes ontvangen van Apple bevatte 274 nummers, en 6-cijferige nummers: 2910.
Voor Apple-apparaten krijgt de gebruiker 10 pogingen om de pincode in te voeren. Volgens onderzoekers heeft de zwarte lijst in dit geval vrijwel geen zin. Na 10 pogingen bleek het lastig om het juiste getal te raden, ook al is het heel simpel (zoals 123456). Voor Android-apparaten kunnen binnen 11 uur 100 pincodes worden ingevoerd, en in dit geval is de zwarte lijst al een betrouwbaarder middel om te voorkomen dat de gebruiker een eenvoudige combinatie invoert en om te voorkomen dat de smartphone wordt gehackt door brute force-nummers.
In het experiment selecteerden 1220 deelnemers onafhankelijk van elkaar pincodes, en onderzoekers probeerden deze in 10, 30 of 100 pogingen te raden. De selectie van combinaties gebeurde op twee manieren. Als de zwarte lijst was ingeschakeld, werden smartphones aangevallen zonder nummers uit de lijst te gebruiken. Zonder dat de zwarte lijst was ingeschakeld, begon de codeselectie met het doorzoeken van nummers op de zwarte lijst (de meest gebruikte nummers). Tijdens het experiment bleek dat een verstandig gekozen 4-cijferige pincode weliswaar het aantal inlogpogingen beperkt, maar toch behoorlijk veilig en zelfs iets betrouwbaarder is dan een 6-cijferige pincode.
De meest voorkomende 4-cijferige pincodes waren 1234, 0000, 1111, 5555 en 2580 (dit is de verticale kolom op het numerieke toetsenbord). Uit een diepere analyse bleek dat de ideale zwarte lijst voor viercijferige pincodes ongeveer 1000 vermeldingen zou moeten bevatten en iets anders zou moeten zijn dan de zwarte lijst die voor Apple-apparaten was afgeleid.
Ten slotte ontdekten de onderzoekers dat pincodes van vier en zes cijfers minder veilig zijn dan wachtwoorden, maar veiliger dan op patronen gebaseerde smartphonesloten. Vol zal in mei 2020 in San Francisco worden gepresenteerd op het IEEE Symposium on Security and Privacy.
Bron: 3dnews.ru