ทีมวิจัยอาสาสมัครชาวเยอรมัน-อเมริกัน และเปรียบเทียบความปลอดภัยของรหัส PIN หกหลักและสี่หลักสำหรับการล็อคสมาร์ทโฟน หากสมาร์ทโฟนของคุณสูญหายหรือถูกขโมย อย่างน้อยที่สุดก็ต้องแน่ใจว่าข้อมูลได้รับการปกป้องจากการแฮ็ก เป็นอย่างนั้นเหรอ?
Philipp Markert จากสถาบัน Horst Goertz เพื่อความปลอดภัยด้านไอทีที่ Ruhr University Bochum และ Maximilian Golla จากสถาบัน Max Planck เพื่อความปลอดภัยและความเป็นส่วนตัว พบว่าในทางปฏิบัติจิตวิทยามีอิทธิพลเหนือคณิตศาสตร์ จากมุมมองทางคณิตศาสตร์ ความน่าเชื่อถือของรหัส PIN หกหลักนั้นสูงกว่ารหัสสี่หลักอย่างมาก แต่ผู้ใช้ชอบผสมตัวเลขบางชุด ดังนั้นรหัส PIN บางตัวจึงถูกใช้บ่อยกว่า และเกือบจะลบความแตกต่างในความซับซ้อนระหว่างรหัสหกและสี่หลักได้
ในการศึกษานี้ ผู้เข้าร่วมใช้อุปกรณ์ Apple หรือ Android และตั้งรหัส PIN สี่หรือหกหลัก บนอุปกรณ์ Apple ที่เริ่มต้นด้วย iOS 9 รายการสีดำของชุดค่าผสมดิจิทัลที่ต้องห้ามสำหรับรหัส PIN ปรากฏขึ้น ซึ่งการเลือกรายการดังกล่าวจะถูกห้ามโดยอัตโนมัติ นักวิจัยมีทั้งบัญชีดำอยู่ในมือ (สำหรับรหัส 6 และ 4 หลัก) และทำการค้นหาชุดค่าผสมบนคอมพิวเตอร์ บัญชีดำของรหัส PIN 4 หลักที่ได้รับจาก Apple มี 274 หมายเลข และ 6 หลัก - 2910
สำหรับอุปกรณ์ Apple ผู้ใช้จะสามารถป้อน PIN ได้ 10 ครั้ง ตามที่นักวิจัยระบุ ในกรณีนี้ บัญชีดำนั้นแทบไม่สมเหตุสมผลเลย หลังจากลองไปแล้ว 10 ครั้ง การเดาหมายเลขที่ถูกต้องเป็นเรื่องยาก แม้ว่าจะง่ายมากก็ตาม (เช่น 123456) สำหรับอุปกรณ์ Android สามารถป้อนรหัส PIN ได้ 11 รหัสใน 100 ชั่วโมง และในกรณีนี้ บัญชีดำเป็นวิธีที่เชื่อถือได้มากกว่าในการป้องกันไม่ให้ผู้ใช้ป้อนชุดค่าผสมแบบง่าย ๆ และป้องกันไม่ให้สมาร์ทโฟนถูกแฮ็กด้วยหมายเลขกำลังดุร้าย
ในการทดลอง ผู้เข้าร่วม 1220 คนเลือกรหัส PIN อย่างอิสระ และผู้ทดลองพยายามเดารหัสเหล่านี้ในความพยายาม 10, 30 หรือ 100 ครั้ง การเลือกชุดค่าผสมดำเนินการได้สองวิธี หากเปิดใช้งานบัญชีดำ สมาร์ทโฟนจะถูกโจมตีโดยไม่ใช้หมายเลขจากรายการ หากไม่เปิดใช้งานบัญชีดำ การเลือกรหัสจะเริ่มต้นด้วยการค้นหาตัวเลขจากบัญชีดำ (ซึ่งเป็นรหัสที่ใช้บ่อยที่สุด) ในระหว่างการทดสอบ ปรากฎว่ารหัส PIN 4 หลักที่เลือกอย่างชาญฉลาด แม้จะจำกัดจำนวนครั้งในการพยายามเข้า แต่ก็ค่อนข้างปลอดภัยและเชื่อถือได้มากกว่ารหัส PIN 6 หลักเล็กน้อย
รหัส PIN 4 หลักที่พบบ่อยที่สุดคือ 1234, 0000, 1111, 5555 และ 2580 (นี่คือคอลัมน์แนวตั้งบนแป้นพิมพ์ตัวเลข) การวิเคราะห์เชิงลึกแสดงให้เห็นว่าบัญชีดำในอุดมคติสำหรับ PIN สี่หลักควรมีประมาณ 1000 รายการ และแตกต่างจากรายการที่ได้รับมาสำหรับอุปกรณ์ Apple เล็กน้อย
ในที่สุด นักวิจัยพบว่ารหัส PIN 4 หลักและ 6 หลักมีความปลอดภัยน้อยกว่ารหัสผ่าน แต่มีความปลอดภัยมากกว่าการล็อคสมาร์ทโฟนตามรูปแบบ เต็ม จะนำเสนอที่ซานฟรานซิสโกในเดือนพฤษภาคม 2020 ที่งาน IEEE Symposium on Security and Privacy
ที่มา: 3dnews.ru