Philipp Markert fra RUB's Horst Görtz Institute for IT-Security (til venstre) og Maximilian Golla fra Max Planck Institute for Security and Privacy i Bochum samarbejdede om undersøgelsen. Kredit:RUB, Marquard
Et tysk-amerikansk hold af IT-sikkerhedsforskere har undersøgt, hvordan brugere vælger PIN-koden til deres mobiltelefoner, og hvordan de kan overbevises om at bruge en mere sikker nummerkombination. De fandt ud af, at sekscifrede pinkoder faktisk giver lidt mere sikkerhed end firecifrede. De viste også, at den sortliste, som Apple brugte til at forhindre særligt hyppige pinkoder, kunne optimeres, og at det ville give endnu mere mening at implementere en på Android-enheder.
Philipp Markert, Daniel Bailey, og professor Markus Dürmuth fra Horst Görtz Instituttet for IT-sikkerhed ved Ruhr-Universität Bochum udførte undersøgelsen sammen med Dr. Maximilian Golla fra Max Planck Institute for Security and Privacy i Bochum og professor Adam Aviv fra George Washington University i USA. Forskerne vil præsentere resultaterne på IEEE Symposium on Security and Privacy i San Francisco i maj 2020.
Omfattende brugerundersøgelse
I undersøgelsen, forskerne fik brugere på Apple- og Android-enheder til at indstille enten fire eller sekscifrede pinkoder og analyserede senere, hvor lette de var at gætte. I processen, de gik ud fra, at angriberen ikke kendte offeret og var ligeglad med, hvis mobiltelefon der var låst op. Derfor, den bedste angrebsstrategi ville være at prøve de mest sandsynlige PIN-koder først.
Nogle af undersøgelsens deltagere kunne frit vælge deres PIN-kode tilfældigt. Andre kunne kun vælge pinkoder, der ikke var inkluderet på en sortliste. Hvis de forsøgte at bruge en af de sortlistede pinkoder, de modtog en advarsel om, at denne kombination af cifre var let at gætte.
I forsøget IT-sikkerhedseksperterne brugte forskellige sortlister, inklusive den rigtige fra Apple, som de opnåede ved at få en computer til at teste alle mulige PIN-kombinationer på en iPhone. I øvrigt, de oprettede også deres egne mere eller mindre omfattende sortelister.
Sekscifrede pinkoder er ikke mere sikre end firecifrede
Det kom frem, at sekscifrede pinkoder ikke giver mere sikkerhed end firecifrede. "Matematisk set, der er stor forskel, selvfølgelig, " siger Philipp Markert. En firecifret pinkode kan bruges til at oprette 10, 000 forskellige kombinationer, mens en sekscifret pinkode kan bruges til at oprette en million. "Imidlertid, brugere foretrækker visse kombinationer; nogle pinkoder bruges oftere, for eksempel, 123456 og 654321, " forklarer Philipp Markert. Det betyder, at brugerne ikke udnytter det fulde potentiale af de sekscifrede koder. "Det ser ud til, at brugerne i øjeblikket ikke intuitivt forstår, hvad det er, der gør en sekscifret PIN-kode sikker, " antager Markus Dürmuth.
En forsigtigt valgt firecifret PIN-kode er sikker nok, hovedsagelig fordi producenter begrænser antallet af forsøg på at indtaste en PIN-kode. Apple låser enheden helt efter ti forkerte indtastninger. På en Android-smartphone, forskellige koder kan ikke indtastes efter hinanden hurtigt efter hinanden. "Om elleve timer, 100 talkombinationer kan testes, " påpeger Philipp Markert.
Sortlister kan være nyttige
Forskerne fandt 274 talkombinationer på Apples sortliste for firecifrede pinkoder. "Da brugere alligevel kun har ti forsøg på at gætte PIN-koden på iPhone, sortlisten gør det ikke mere sikkert, " slutter Maximilian Golla. Ifølge forskerne, sortlisten ville give mere mening på Android-enheder, da angribere kan prøve flere pinkoder der.
Undersøgelsen har vist, at den ideelle sortliste for firecifrede PIN-koder skal indeholde omkring 1, 000 poster og afviger en smule fra den liste, der i øjeblikket bruges af Apple. De mest almindelige firecifrede pinkoder, ifølge undersøgelsen, er 1234, 0000, 2580 (cifrene vises lodret under hinanden på det numeriske tastatur), 1111 og 5555.
På iPhone, brugere har mulighed for at ignorere advarslen om, at de har indtastet en ofte brugt pinkode. Enheden, derfor, forhindrer ikke konsekvent poster i at blive valgt fra sortlisten. Med henblik på deres undersøgelse, IT-sikkerhedseksperterne undersøgte også dette aspekt nærmere. Nogle af testdeltagerne, der havde indtastet en pinkode fra sortlisten, fik lov til at vælge, om de ville indtaste en ny pinkode efter advarslen. De andre skulle indstille en ny pinkode, som ikke var på listen. Gennemsnitlig, PIN-koden for begge grupper var lige svære at gætte.
Mere sikker end mønsterlåse
Et andet resultat af undersøgelsen var, at fire- og sekscifrede pinkoder er mindre sikre end adgangskoder, men mere sikker end mønsterlåse.
De mest populære pinkoder
Ifølge undersøgelsen de ti mest populære firecifrede pinkoder er:1234, 0000, 2580, 1111, 5555, 5683, 0852, 2222, 1212, 1998
De ti mest populære sekscifrede pinkoder er:123456, 654321, 111111, 000000, 123123, 666666, 121212, 112233, 789456, 159753