Tysk-amerikansk frivillig forskerteam og sammenlignet sikkerheten til sekssifrede og firesifrede PIN-koder for smarttelefonlåsing. Hvis smarttelefonen din blir borte eller stjålet, er det bedre å i det minste være sikker på at informasjonen vil være beskyttet mot hacking. Er det sånn?
Philipp Markert fra Horst Goertz-instituttet for IT-sikkerhet ved Ruhr-universitetet i Bochum og Maximilian Golla fra Max Planck-instituttet for sikkerhet og personvern fant at i praksis dominerer psykologi matematikk. Fra et matematisk synspunkt er påliteligheten til sekssifrede PIN-koder betydelig høyere enn firesifrede. Men brukere foretrekker visse kombinasjoner av tall, så visse PIN-koder brukes oftere og dette sletter nesten forskjellen i kompleksitet mellom seks- og firesifrede koder.
I studien brukte deltakerne Apple- eller Android-enheter og satte fire- eller sekssifrede PIN-koder. På Apple-enheter som starter med iOS 9, dukket det opp en svarteliste over forbudte digitale kombinasjoner for PIN-koder, hvis valg automatisk er forbudt. Forskerne hadde både svartelister for hånden (for 6- og 4-sifrede koder) og kjørte et søk etter kombinasjoner på datamaskinen. Svartelisten over 4-sifrede PIN-koder mottatt fra Apple inneholdt 274 numre, og 6-sifrede - 2910.
For Apple-enheter får brukeren 10 forsøk på å taste inn PIN-koden. Ifølge forskere gir svartelisten i dette tilfellet praktisk talt ingen mening. Etter 10 forsøk viste det seg å være vanskelig å gjette riktig tall, selv om det er veldig enkelt (som 123456). For Android-enheter kan 11 PIN-kodeoppføringer gjøres på 100 timer, og i dette tilfellet er svartelisten allerede et mer pålitelig middel for å hindre brukeren i å gå inn i en enkel kombinasjon og forhindre at smarttelefonen blir hacket av brute force-numre.
I eksperimentet valgte 1220 deltakere uavhengig PIN-koder, og eksperimenter prøvde å gjette dem i 10, 30 eller 100 forsøk. Utvalget av kombinasjoner ble utført på to måter. Hvis svartelisten var aktivert, ble smarttelefoner angrepet uten å bruke tall fra listen. Uten svartelisten aktivert, begynte kodevalget med å søke gjennom numre fra svartelisten (som de mest brukte). I løpet av eksperimentet viste det seg at en klokt valgt 4-sifret PIN-kode, samtidig som den begrenser antall innreiseforsøk, er ganske sikker og enda litt mer pålitelig enn en 6-sifret PIN-kode.
De vanligste 4-sifrede PIN-kodene var 1234, 0000, 1111, 5555 og 2580 (dette er den vertikale kolonnen på det numeriske tastaturet). En dypere analyse viste at den ideelle svartelisten for firesifrede PIN-koder burde inneholde omtrent 1000 oppføringer og være litt forskjellig fra den som ble utledet for Apple-enheter.
Til slutt fant forskerne at 4-sifrede og 6-sifrede PIN-koder er mindre sikre enn passord, men sikrere enn mønsterbaserte smarttelefonlåser. Full vil bli presentert i San Francisco i mai 2020 på IEEE Symposium on Security and Privacy.
Kilde: 3dnews.ru