Ett tysk-amerikanskt team av IT-säkerhetsforskare har undersökt hur användare väljer PIN-koden till sina mobiltelefoner och hur de kan övertygas om att använda en säkrare nummerkombination. De fann att sexsiffriga PIN-koder faktiskt ger lite mer säkerhet än fyrsiffriga. De visade också att den svarta listan som används av Apple för att förhindra särskilt frekventa PIN-koder kunde optimeras och att det skulle vara ännu mer meningsfullt att implementera en på Android-enheter.

Philipp Markert, Daniel Bailey, och professor Markus Dürmuth från Horst Görtz Institute for IT Security vid Ruhr-Universität Bochum genomförde studien tillsammans med Dr Maximilian Golla från Max Planck Institute for Security and Privacy i Bochum och professor Adam Aviv från George Washington University i USA. Forskarna kommer att presentera resultaten vid IEEE Symposium on Security and Privacy i San Francisco i maj 2020.

Omfattande användarstudie

I studien, forskarna lät användare på Apple- och Android-enheter ange antingen fyra eller sexsiffriga PIN-koder och analyserade senare hur lätta de var att gissa. I processen, de antog att angriparen inte kände offret och inte brydde sig om vems mobiltelefon som är upplåst. Följaktligen, den bästa attackstrategin skulle vara att prova de mest troliga PIN-koderna först.

Några av studiedeltagarna var fria att välja sin PIN-kod slumpmässigt. Andra kunde bara välja PIN-koder som inte fanns med på en svartlista. Om de försökte använda en av de svartlistade PIN-koderna, de fick en varning om att denna kombination av siffror var lätt att gissa.

I experimentet, IT-säkerhetsexperterna använde olika svarta listor, inklusive den riktiga från Apple, som de fick genom att en dator testade alla möjliga PIN-kombinationer på en iPhone. Dessutom, de skapade också sina egna mer eller mindre omfattande svarta listor.

Sexsiffriga PIN-koder är inte säkrare än fyrsiffriga

Det visade sig att sexsiffriga PIN-koder inte ger mer säkerhet än fyrsiffriga. "Matematiskt sett, det är stor skillnad, självklart, " säger Philipp Markert. En fyrsiffrig PIN-kod kan användas för att skapa 10, 000 olika kombinationer, medan en sexsiffrig PIN-kod kan användas för att skapa en miljon. "Dock, användare föredrar vissa kombinationer; vissa PIN-koder används oftare, till exempel, 123456 och 654321, " förklarar Philipp Markert. Detta innebär att användare inte drar nytta av den fulla potentialen hos de sexsiffriga koderna. "Det verkar som om användare för närvarande inte förstår intuitivt vad det är som gör en sexsiffrig PIN-kod säker, " antar Markus Dürmuth.

En försiktigt vald fyrsiffrig PIN-kod är tillräckligt säker, främst för att tillverkarna begränsar antalet försök att ange en PIN-kod. Apple låser enheten helt efter tio felaktiga inmatningar. På en Android-smartphone, olika koder kan inte matas in efter varandra i snabb följd. "Om elva timmar, 100 nummerkombinationer kan testas, " påpekar Philipp Markert.

Svarta listor kan vara användbara

Forskarna hittade 274 nummerkombinationer på Apples svarta lista för fyrsiffriga PIN-koder. "Eftersom användare bara har tio försök att gissa PIN-koden på iPhone ändå, den svarta listan gör det inte säkrare, " avslutar Maximilian Golla. Enligt forskarna, den svarta listan skulle vara mer meningsfull på Android-enheter, eftersom angripare kan prova fler PIN-koder där.

Studien har visat att den idealiska svarta listan för fyrsiffriga PIN-koder måste innehålla ungefär 1, 000 poster och skiljer sig något från den lista som för närvarande används av Apple. De vanligaste fyrsiffriga PIN-koderna, enligt studien, är 1234, 0000, 2580 (siffrorna visas vertikalt under varandra på det numeriska tangentbordet), 1111 och 5555.

På iPhone, användare har möjlighet att ignorera varningen om att de har angett en ofta använd PIN-kod. Enheten, därför, förhindrar inte konsekvent att poster väljs från den svarta listan. För syftet med sin studie, IT-säkerhetsexperterna undersökte också denna aspekt närmare. Några av testdeltagarna som hade angett en PIN-kod från den svarta listan fick välja om de skulle ange en ny PIN-kod efter varningen. De andra var tvungna att ange en ny PIN-kod som inte fanns på listan. I genomsnitt, PIN-koderna för båda grupperna var lika svåra att gissa.

Säkrare än mönsterlås

Ett annat resultat av studien var att fyra och sexsiffriga PIN-koder är mindre säkra än lösenord, men säkrare än mönsterlås.

De mest populära PIN-koderna

Enligt studien, de tio mest populära fyrsiffriga PIN-koderna är:1234, 0000, 2580, 1111, 5555, 5683, 0852, 2222, 1212, 1998

De tio mest populära sexsiffriga PIN-koderna är:123456, 654321, 111111, 000 000, 123123, 666666, 121212, 112233, 789456, 159753