Niemiecko-amerykański zespół badawczy zajmujący się wolontariatem i porównali bezpieczeństwo sześciocyfrowych i czterocyfrowych kodów PIN do blokowania smartfonów. Jeśli Twój smartfon zostanie zgubiony lub skradziony, lepiej przynajmniej mieć pewność, że informacje będą chronione przed włamaniem. Czy tak jest?
Philipp Markert z Instytutu Bezpieczeństwa IT im. Horsta Goertza na Uniwersytecie Ruhr w Bochum i Maximilian Golla z Instytutu Bezpieczeństwa i Prywatności Maxa Plancka odkryli, że w praktyce psychologia dominuje w matematyce. Z matematycznego punktu widzenia niezawodność sześciocyfrowych kodów PIN jest znacznie wyższa niż czterocyfrowych. Jednak użytkownicy wolą określone kombinacje liczb, dlatego częściej stosuje się określone kody PIN, co prawie zaciera różnicę w złożoności między kodami sześcio- i czterocyfrowymi.
W badaniu uczestnicy korzystali z urządzeń Apple lub Android i ustawiali cztero- lub sześciocyfrowe kody PIN. Na urządzeniach Apple począwszy od iOS 9 pojawiła się czarna lista zabronionych kombinacji cyfrowych kodów PIN, których wybór jest automatycznie zabroniony. Badacze mieli pod ręką obie czarne listy (dla kodów 6- i 4-cyfrowych) i przeszukiwali kombinacje na komputerze. Czarna lista 4-cyfrowych kodów PIN otrzymanych od Apple zawierała 274 numery, a 6-cyfrowych – 2910.
W przypadku urządzeń Apple użytkownik ma 10 prób wprowadzenia kodu PIN. Według badaczy w tym przypadku czarna lista nie ma praktycznie żadnego sensu. Po 10 próbach odgadnięcie prawidłowej liczby okazało się trudne, nawet jeśli było bardzo proste (np. 123456). W przypadku urządzeń z Androidem 11 wpisów kodu PIN można dokonać w ciągu 100 godzin, a w tym przypadku czarna lista jest już bardziej niezawodnym sposobem powstrzymywania użytkownika przed wprowadzeniem prostej kombinacji i zapobiegania włamaniom do smartfona za pomocą numerów siłowych.
W eksperymencie 1220 uczestników niezależnie wybierało kody PIN, a eksperymentatorzy próbowali je odgadnąć w 10, 30 lub 100 próbach. Doboru kombinacji dokonano dwojako. Jeśli czarna lista była włączona, smartfony były atakowane bez użycia numerów z listy. Bez włączonej czarnej listy wybór kodu rozpoczynał się od przeszukiwania numerów z czarnej listy (jako najczęściej używanych). Podczas eksperymentu okazało się, że mądrze dobrany 4-cyfrowy kod PIN, ograniczając jednocześnie liczbę prób wejścia, jest dość bezpieczny, a nawet nieco bardziej niezawodny niż 6-cyfrowy kod PIN.
Najpopularniejszymi 4-cyfrowymi kodami PIN były 1234, 0000, 1111, 5555 i 2580 (jest to pionowa kolumna na klawiaturze numerycznej). Głębsza analiza wykazała, że idealna czarna lista dla czterocyfrowych PIN-ów powinna zawierać około 1000 wpisów i nieznacznie różnić się od tej, która została opracowana dla urządzeń Apple.
Wreszcie naukowcy odkryli, że 4-cyfrowe i 6-cyfrowe kody PIN są mniej bezpieczne niż hasła, ale bezpieczniejsze niż blokady smartfonów oparte na wzorach. Pełny zostanie zaprezentowany w San Francisco w maju 2020 r. podczas Sympozjum IEEE na temat bezpieczeństwa i prywatności.
Źródło: 3dnews.ru