Een Duits-Amerikaans team van IT-beveiligingsonderzoekers heeft onderzocht hoe gebruikers de pincode voor hun mobiele telefoon kiezen en hoe ze overtuigd kunnen worden om een ​​veiligere nummercombinatie te gebruiken. Ze ontdekten dat zescijferige pincodes eigenlijk weinig meer beveiliging bieden dan viercijferige pincodes. Ze toonden ook aan dat de zwarte lijst die Apple gebruikt om bijzonder frequente pincodes te voorkomen, kan worden geoptimaliseerd en dat het nog logischer is om er een op Android-apparaten te implementeren.

Philip Markert, Daniël Bailey, en professor Markus Dürmuth van het Horst Görtz Institute for IT Security aan de Ruhr-Universität Bochum voerden het onderzoek samen met Dr. Maximilian Golla van het Max Planck Institute for Security and Privacy in Bochum en professor Adam Aviv van de George Washington University in de VS uit. De onderzoekers presenteren de resultaten op het IEEE Symposium on Security and Privacy in San Francisco in mei 2020.

Uitgebreid gebruikersonderzoek

In de studie, de onderzoekers lieten gebruikers op Apple- en Android-apparaten pincodes van vier of zes cijfers instellen en analyseerden later hoe gemakkelijk ze te raden waren. In het proces, ze gingen ervan uit dat de aanvaller het slachtoffer niet kende en het kon hem niet schelen wiens mobiele telefoon ontgrendeld is. Overeenkomstig, de beste aanvalsstrategie zou zijn om eerst de meest waarschijnlijke pincodes te proberen.

Sommige deelnemers aan de studie waren vrij om hun pincode willekeurig te kiezen. Anderen konden alleen pincodes kiezen die niet op een zwarte lijst stonden. Als ze probeerden een van de pincodes op de zwarte lijst te gebruiken, ze kregen een waarschuwing dat deze combinatie van cijfers gemakkelijk te raden was.

In het experiment, de IT-beveiligingsexperts gebruikten verschillende zwarte lijsten, inclusief de echte van Apple, die ze verkregen door een computer alle mogelijke pincombinaties op een iPhone te laten testen. Bovendien, ze hebben ook hun eigen min of meer uitgebreide zwarte lijsten gemaakt.

Zescijferige pincodes zijn niet veiliger dan viercijferige pincodes

Het bleek dat zescijferige pincodes niet meer veiligheid bieden dan viercijferige pincodes. "Wiskundig gesproken, er is een groot verschil, natuurlijk, ", zegt Philipp Markert. Een viercijferige pincode kan worden gebruikt om 10, 000 verschillende combinaties, terwijl een zescijferige pincode kan worden gebruikt om een ​​miljoen te creëren. "Echter, gebruikers geven de voorkeur aan bepaalde combinaties; sommige pincodes worden vaker gebruikt, bijvoorbeeld, 123456 en 654321, " legt Philipp Markert uit. Dit betekent dat gebruikers niet het volledige potentieel van de zescijferige codes benutten. "Het lijkt erop dat gebruikers momenteel niet intuïtief begrijpen wat een zescijferige pincode veilig maakt, " veronderstelt Markus Dürmuth.

Een zorgvuldig gekozen viercijferige pincode is veilig genoeg, vooral omdat fabrikanten het aantal pogingen om een ​​pincode in te voeren beperken. Apple vergrendelt het apparaat volledig na tien onjuiste invoer. Op een Android-smartphone, verschillende codes kunnen niet snel achter elkaar worden ingevoerd. "Over elf uur 100 cijfercombinaties kunnen worden getest, ’, zegt Philipp Markert.

Zwarte lijsten kunnen handig zijn

De onderzoekers vonden 274 cijfercombinaties op Apple's zwarte lijst voor viercijferige pincodes. "Omdat gebruikers toch maar tien pogingen hebben om de pincode op de iPhone te raden, de zwarte lijst maakt het niet veiliger, " concludeert Maximilian Golla. Volgens de onderzoekers, de zwarte lijst zou logischer zijn op Android-apparaten, omdat aanvallers daar meer pincodes kunnen uitproberen.

Het onderzoek heeft aangetoond dat de ideale zwarte lijst voor viercijferige pincodes ongeveer 1 zou moeten bevatten. 000 vermeldingen en verschillen enigszins van de lijst die momenteel door Apple wordt gebruikt. De meest voorkomende viercijferige pincodes, volgens de studie, zijn 1234, 0000, 2580 (de cijfers verschijnen verticaal onder elkaar op het numerieke toetsenbord), 1111 en 5555.

Op de iPhone, gebruikers hebben de mogelijkheid om de waarschuwing dat ze een veelgebruikte pincode hebben ingevoerd, te negeren. Het apparaat, daarom, voorkomt niet consequent dat inzendingen van de zwarte lijst worden geselecteerd. Voor hun studie, de IT-beveiligingsexperts gingen ook op dit aspect dieper in. Een deel van de testdeelnemers die een pincode van de zwarte lijst had ingevoerd, mocht na de waarschuwing kiezen om al dan niet een nieuwe pincode in te voeren. De anderen moesten een nieuwe pincode instellen die niet op de lijst stond. Gemiddeld, de pincodes van beide groepen waren even moeilijk te raden.

Veiliger dan patroonsloten

Een ander resultaat van het onderzoek was dat pincodes van vier en zes cijfers minder veilig zijn dan wachtwoorden, maar veiliger dan patroonsloten.

De meest populaire pincodes

Volgens de studie, de tien meest populaire viercijferige pincodes zijn:1234, 0000, 2580, 1111, 5555, 5683, 0852, 2222, 1212, 1998

De tien meest populaire zescijferige pincodes zijn:123456, 654321, 111111, 000000, 123123, 666666, 121212, 112233, 789456, 159753