Німецько-американська команда дослідників із залученням добровольців перевірила і порівняла безпеку шестизначних і чотиризначних PIN-кодів для блокування смартфонів. У разі втрати або крадіжки смартфона краще бути впевненим хоча б у тому, що інформація виявиться захищеною від злому. Чи так це?
Філіп Маркерт з Інституту ІТ-безпеки Горста Герца Рурського університету Бохума і Максиміліан Голла з Інституту безпеки і конфіденційності імені Макса Планка з'ясували, що на практиці психологія тяжіє над математикою. З математичної точки зору, надійність шестизначних PIN-кодів істотно вища, ніж чотиризначних. Але користувачі віддають перевагу певним комбінаціям цифр, тому деякі PIN-коди використовуються частіше і це майже стирає різницю в складності між шести- і чотиризначними кодами.
У дослідженні учасники експериментів використовували пристрої Apple або Android і встановлювали чотирьох- або шестизначні PIN-коди. На пристроях Apple з версії iOS 9 з'явився чорний список заборонених цифрових комбінацій для PIN-кодів, вибір яких автоматично заборонений. Дослідники мали на руках як обидва чорні списки (для 6- і 4-значних кодів), так і запускали перебір комбінацій на комп'ютері. Чорний список отриманих від Apple 4-значних PIN-кодів містив 274 номери, а 6-значних ― 2910.
Для пристроїв Apple користувачеві дається 10 спроб ввести PIN-код. На думку дослідників, у такому випадку чорний список практично не має сенсу. За 10 спроб виявилося складно вгадати правильний номер, навіть якщо він дуже простий (типу 123456). Для пристроїв Android за 11 годин можна здійснити 100 вводів PIN-коду, і в даному випадку чорний список вже є більш надійним засобом утримати користувача від введення простої комбінації і не допустити злом смартфона шляхом перебору номерів.
В експерименті 1220 учасників самостійно вибирали PIN-коди, а експериментатори намагалися вгадати їх за 10, 30 або 100 спроб. Підбір комбінацій проводився двома способами. Якщо включено чорний список, смартфони атакувалися без використання номерів зі списку. Без включеного чорного списку підбір коду починався з перебору номерів з чорного списку (як найбільш часто використовуються). В ході експерименту з'ясувалося, що розумно обраний 4-значний PIN-код при обмеженні числа спроб введення досить безпечний і навіть трохи надійніше 6-значного.
Найбільш поширеними 4-значними PIN-кодами виявилися комбінації 1234, 0000, 1111, 5555 і 2580 (це вертикальний стовпчик на цифровій клавіатурі). Більш глибокий аналіз показав, що ідеальний чорний список для чотиризначних PIN повинен містити близько 1000 записів і трохи відрізнятися від того, який був виведений для пристроїв Apple.
Нарешті, дослідники з'ясували, що 4-значні і 6-значні PIN-коди менш безпечні, ніж паролі, але більш надійні, ніж графічне блокування смартфонів (за шаблонами). Повна доповідь з дослідження буде представлена в Сан-Франциско в травні 2020 року на конференції IEEE Symposium on Security and Privacy.
