Німецько-американська команда дослідників із залученням добровольців та порівняла безпеку шестизначних та чотиризначних PIN-кодів для блокування смартфонів. У разі втрати або крадіжки смартфона краще бути впевненим хоча б у тому, що інформація виявиться захищеною від злому. Чи так це?
Філіп Маркерт з Інституту ІТ-безпеки Хорста Герца Рурського університету Бохума та Максиміліан Голла з Інституту безпеки та конфіденційності імені Макса Планка з'ясували, що на практиці психологія тяжіє над математикою. З математичної точки зору, надійність шестизначних PIN-кодів значно вища, ніж чотиризначних. Але користувачі віддають перевагу певним комбінаціям цифр, тому деякі PIN-коди використовуються частіше і це майже стирає різницю в складності між шести- і чотиризначними кодами.
У дослідженні учасники експериментів використовували пристрої Apple або Android і встановлювали чотири або шестизначні PIN-коди. На пристрої Apple з версії iOS 9 з'явився чорний список заборонених цифрових комбінацій для PIN-кодів, вибір яких автоматично заборонено. Дослідники мали на руках як обидва чорні списки (для 6- і 4-значних кодів), так і запускали перебір комбінацій на комп'ютері. Чорний список отриманих від Apple 4-значних PIN-кодів містив 274 номери, а 6-значних - 2910.
Для пристроїв Apple користувачеві 10 спроб ввести PIN-код. На думку дослідників, у такому разі чорний список практично не має сенсу. За 10 спроб виявилося складно вгадати правильний номер, навіть якщо він дуже простий (типу 123456 11). Для пристроїв Android за 100 годин можна зробити XNUMX вводів PIN-коду, і в цьому випадку чорний список вже є надійнішим засобом утримати користувача від простої комбінації і не допустити злом смартфона шляхом перебору номерів.
В експерименті 1220 учасників самостійно обирали PIN-коди, а експериментатори намагалися вгадати їх за 10, 30 чи 100 спроб. Підбір комбінацій проводився двома способами. Якщо чорний список включався, смартфони атакувалися без використання номерів зі списку. Без увімкненого чорного списку підбір коду починався з перебору номерів із чорного списку (як найчастіше використовувані). В ході експерименту з'ясувалося, що розумно обраний 4-значний PIN-код при обмеженні кількості спроб введення досить безпечний і навіть трохи надійніший за 6-значний.
Найбільш поширеними 4-значними PIN-кодами виявилися комбінації 1234, 0000, 1111, 5555 та 2580 (це вертикальний стовпець на цифровій клавіатурі). Глибокіший аналіз показав, що ідеальний чорний список для чотиризначних PIN повинен містити близько 1000 записів і трохи відрізнятися від того, який був виведений для пристроїв Apple.
Нарешті, дослідники з'ясували, що 4-значні та 6-значні PIN-коди менш безпечні, ніж паролі, але надійніші, ніж графічне блокування смартфонів (за шаблонами). Повний буде представлений у Сан-Франциско у травні 2020 року на конференції IEEE Symposium on Security and Privacy.
Джерело: 3dnews.ru