Nemško-ameriška prostovoljna raziskovalna skupina in primerjali varnost šestmestne in štirimestne kode PIN za zaklepanje pametnega telefona. Če je vaš pametni telefon izgubljen ali ukraden, je bolje, da ste vsaj prepričani, da bodo podatki zaščiteni pred vdori. Ali je tako?
Philipp Markert z inštituta Horst Goertz za IT varnost na Univerzi Ruhr Bochum in Maximilian Golla z inštituta Max Planck za varnost in zasebnost sta ugotovila, da v praksi psihologija prevladuje nad matematiko. Z matematičnega vidika je zanesljivost šestmestnih PIN kod bistveno višja od štirimestnih. Uporabniki pa imajo raje določene kombinacije številk, zato se določene kode PIN pogosteje uporabljajo in s tem se razlika v kompleksnosti med šest- in štirimestnimi kodami skorajda izbriše.
V študiji so udeleženci uporabljali naprave Apple ali Android in nastavljali štiri- ali šestmestne kode PIN. Na napravah Apple, začenši z iOS 9, se je pojavil črni seznam prepovedanih digitalnih kombinacij PIN kod, katerih izbira je samodejno prepovedana. Raziskovalci so imeli pri roki oba črna seznama (za 6- in 4-mestne kode) in na računalniku iskali kombinacije. Črni seznam 4-mestnih kod PIN, prejetih od Apple, je vseboval 274 številk, 6-mestnih pa 2910.
Pri napravah Apple ima uporabnik na voljo 10 poskusov vnosa kode PIN. Po mnenju raziskovalcev črni seznam v tem primeru nima skoraj nobenega smisla. Po 10 poskusih se je izkazalo, da je težko uganiti pravo številko, čeprav je zelo preprosta (na primer 123456). Pri napravah Android je 11 vnosov kode PIN mogoče opraviti v 100 urah in v tem primeru je črni seznam že bolj zanesljivo sredstvo, ki uporabniku preprečuje vnos preproste kombinacije in preprečuje vdor v pametni telefon s številkami na silo.
V poskusu je 1220 udeležencev neodvisno izbiralo kode PIN, eksperimentatorji pa so jih poskušali uganiti v 10, 30 ali 100 poskusih. Izbor kombinacij je potekal na dva načina. Če je bil črni seznam omogočen, so bili pametni telefoni napadeni brez uporabe številk s seznama. Brez omogočene črne liste se je izbira kod začela z iskanjem po številkah s črne liste (kot najpogosteje uporabljenih). Med poskusom se je izkazalo, da je pametno izbrana 4-mestna PIN koda, ob omejitvi števila poskusov vnosa, precej varna in celo nekoliko bolj zanesljiva od 6-mestne PIN kode.
Najpogostejše 4-mestne kode PIN so bile 1234, 0000, 1111, 5555 in 2580 (to je navpični stolpec na številski tipkovnici). Poglobljena analiza je pokazala, da bi moral idealni črni seznam za štirimestne PIN številke vsebovati približno 1000 vnosov in se nekoliko razlikovati od tistega, ki je bil izpeljan za naprave Apple.
Nazadnje so raziskovalci ugotovili, da sta 4-mestna in 6-mestna koda PIN manj varna kot gesla, a varnejša od zaklepanja pametnega telefona z vzorcem. Poln bo predstavljen v San Franciscu maja 2020 na simpoziju IEEE o varnosti in zasebnosti.
Vir: 3dnews.ru