Equipe de pesquisa voluntária germano-americana e comparou a segurança dos códigos PIN de seis e quatro dígitos para bloqueio de smartphones. Se o seu smartphone for perdido ou roubado, é melhor pelo menos ter certeza de que as informações estarão protegidas contra hackers. É assim?
Philipp Markert, do Instituto Horst Goertz de Segurança de TI da Universidade Ruhr Bochum, e Maximilian Golla, do Instituto Max Planck de Segurança e Privacidade, descobriram que, na prática, a psicologia domina a matemática. Do ponto de vista matemático, a confiabilidade dos códigos PIN de seis dígitos é significativamente maior do que a dos códigos PIN de quatro dígitos. Mas os usuários preferem certas combinações de números, então certos códigos PIN são usados com mais frequência e isso quase elimina a diferença de complexidade entre os códigos de seis e quatro dígitos.
No estudo, os participantes usaram dispositivos Apple ou Android e definiram códigos PIN de quatro ou seis dígitos. Nos dispositivos Apple a partir do iOS 9, apareceu uma lista negra de combinações digitais proibidas para códigos PIN, cuja seleção é automaticamente proibida. Os pesquisadores tinham em mãos as duas listas negras (para códigos de 6 e 4 dígitos) e fizeram uma busca de combinações no computador. A lista negra de códigos PIN de 4 dígitos recebidos da Apple continha 274 números e os de 6 dígitos - 2910.
Para dispositivos Apple, o usuário tem 10 tentativas para inserir o PIN. Segundo os pesquisadores, neste caso a lista negra praticamente não faz sentido. Após 10 tentativas, ficou difícil adivinhar o número correto, mesmo que seja muito simples (como 123456). Para dispositivos Android, 11 entradas de código PIN podem ser feitas em 100 horas e, neste caso, a lista negra já é um meio mais confiável de impedir que o usuário insira uma combinação simples e evitar que o smartphone seja invadido por números de força bruta.
No experimento, 1220 participantes selecionaram códigos PIN de forma independente, e os experimentadores tentaram adivinhá-los em 10, 30 ou 100 tentativas. A seleção das combinações foi realizada de duas formas. Se a lista negra estivesse habilitada, os smartphones eram atacados sem usar os números da lista. Sem a lista negra habilitada, a seleção do código começou com a busca pelos números da lista negra (como os mais usados). Durante o experimento, descobriu-se que um código PIN de 4 dígitos escolhido com sabedoria, embora limite o número de tentativas de entrada, é bastante seguro e até um pouco mais confiável do que um código PIN de 6 dígitos.
Os códigos PIN de 4 dígitos mais comuns foram 1234, 0000, 1111, 5555 e 2580 (esta é a coluna vertical do teclado numérico). Uma análise mais aprofundada mostrou que a lista negra ideal para PINs de quatro dígitos deveria conter cerca de 1000 entradas e ser um pouco diferente daquela derivada para dispositivos Apple.
Finalmente, os pesquisadores descobriram que os códigos PIN de 4 e 6 dígitos são menos seguros que as senhas, mas mais seguros que os bloqueios de smartphones baseados em padrões. Completo será apresentado em São Francisco em maio de 2020 no Simpósio IEEE sobre Segurança e Privacidade.
Fonte: 3dnews.ru