Дослідження: для безпеки шестизначні PIN-коди не краще, ніж чотиризначні

Німецько-американська команда дослідників з залученням добровольців перевірила і порівняла безпеку шестизначних і чотиризначних PIN-кодів для блокування смартфонів. У разі втрати або крадіжки смартфону краще бути впевненим хоча б в тому, що інформація виявиться захищеної від злому. Чи так це?

Філіп Маркерт з Інституту ІТ-безпеки Хорста Гёрца Рурського університету Бохума і Максиміліан Голла з Інституту безпеки та конфіденційності імені Макса Планка з’ясували, що на практиці психологія тяжіє над математикою. З математичної точки зору, надійність шестизначних PIN-кодів істотно вище, ніж чотиризначних. Але користувачі вважають за краще певні комбінації цифр, тому деякі PIN-коди використовуються частіше і це майже стирає різницю в складності між шести- і чотиризначних кодами.

У дослідженні учасники експериментів використовували пристрої Apple або Android і встановлювали чотирьох- або шестизначні PIN-коди. На пристроях Apple з версією iOS 9 з’явився чорний список заборонених цифрових комбінацій для PIN-кодів, вибір яких автоматично заборонений. Дослідники мали на руках як обидва чорних списку (для 6 і 4-значних кодів), так і запускали перебір комбінацій на комп’ютері. Чорний список отриманих від Apple 4-значних PIN-кодів містив 274 номери, а 6-значних — 2910.

Для пристроїв Apple користувачеві дається 10 спроб ввести PIN-код. На думку дослідників, в такому випадку чорний список практично не має сенсу. За 10 спроб виявилося складно вгадати правильну номер, навіть якщо він дуже простий (типу 123456). Для пристроїв Android за 11 годин можна зробити 100 спроб правильно ввести PIN, і в даному випадку чорний список уже є більш надійним засобом утримати користувача від введення простої комбінації і не допустити злом смартфона шляхом перебору номерів.

В експерименті 1220 учасників самостійно вибирали PIN-коди, а експериментатори намагалися вгадати їх за 10, 30 або 100 спроб. Підбір комбінацій проводився двома способами. Якщо включався чорний список, смартфони атакували без використання номерів зі списку. Без включеного чорного списку підбір коду починався з перебору номерів з чорного списку (як найбільш часто використовувані). В ході експерименту з’ясувалося, що розумно обраний 4-значний PIN-код при обмеженні числа спроб введення досить безпечний і навіть трохи надійніше 6-значного.Найбільш поширеними 4-значними PIN-кодами виявилися комбінації 1234, 0000 1111, 5555 і 2580 (це вертикальний стовпчик на цифровій клавіатурі). Більш глибокий аналіз показав, що ідеальний чорний список для чотиризначних PIN повинен містити близько 1000 записів і трохи відрізнятися від того, який був виведений для пристроїв Apple.

Нарешті, дослідники з’ясували, що 4-значні і 6-значні PIN-коди менш безпечні, ніж паролі, але більш надійні, ніж графічна блокування смартфонів (по шаблонах).