Uma equipe germano-americana de pesquisadores de segurança de TI investigou como os usuários escolhem o PIN para seus telefones celulares e como podem ser convencidos a usar uma combinação de número mais segura. Eles descobriram que os PINs de seis dígitos, na verdade, fornecem pouco mais segurança do que os de quatro dígitos. Eles também mostraram que a lista negra usada pela Apple para evitar PINs particularmente frequentes poderia ser otimizada e que faria ainda mais sentido implementá-la em dispositivos Android.

Philipp Markert, Daniel Bailey, e o professor Markus Dürmuth do Instituto Horst Görtz para Segurança de TI da Ruhr-Universität Bochum conduziram o estudo em conjunto com o Dr. Maximilian Golla do Instituto Max Planck para Segurança e Privacidade em Bochum e o professor Adam Aviv da Universidade George Washington nos EUA. Os pesquisadores apresentarão os resultados no Simpósio IEEE sobre Segurança e Privacidade em San Francisco em maio de 2020.

Estudo extenso do usuário

No estudo, os pesquisadores fizeram com que os usuários de dispositivos Apple e Android definissem PINs de quatro ou seis dígitos e, posteriormente, analisaram como eram fáceis de adivinhar. No processo, eles presumiram que o invasor não conhecia a vítima e não se importou com o celular desbloqueado. De acordo, a melhor estratégia de ataque seria tentar primeiro os PINs mais prováveis.

Alguns dos participantes do estudo foram livres para escolher seu PIN aleatoriamente. Outros só podiam escolher PINs que não foram incluídos em uma lista negra. Se eles tentassem usar um dos PINs da lista negra, eles receberam um aviso de que essa combinação de dígitos era fácil de adivinhar.

No experimento, os especialistas em segurança de TI usaram várias listas negras, incluindo o real da Apple, que eles obtiveram fazendo com que um computador testasse todas as combinações possíveis de PIN em um iPhone. Além disso, eles também criaram suas próprias listas negras mais ou menos abrangentes.

PINs de seis dígitos não mais seguros do que os de quatro dígitos

Descobriu-se que os PINs de seis dígitos não oferecem mais segurança do que os de quatro dígitos. "Matematicamente falando, Há uma enorme diferença, claro, "diz Philipp Markert. Um PIN de quatro dígitos pode ser usado para criar 10, 000 combinações diferentes, enquanto um PIN de seis dígitos pode ser usado para criar um milhão. "Contudo, os usuários preferem certas combinações; alguns PINs são usados ​​com mais frequência, por exemplo, 123456 e 654321, "explica Philipp Markert. Isso significa que os usuários não aproveitam todo o potencial dos códigos de seis dígitos." Parece que os usuários atualmente não entendem intuitivamente o que torna um PIN de seis dígitos seguro, "supõe Markus Dürmuth.

Um PIN de quatro dígitos escolhido com prudência é seguro o suficiente, principalmente porque os fabricantes limitam o número de tentativas de inserir um PIN. A Apple bloqueia o dispositivo completamente após dez entradas incorretas. Em um smartphone Android, códigos diferentes não podem ser inseridos um após o outro em rápida sucessão. "Em onze horas, 100 combinações de números podem ser testadas, "aponta Philipp Markert.

Listas negras podem ser úteis

Os pesquisadores encontraram 274 combinações de números na lista negra da Apple para PINs de quatro dígitos. "Como os usuários só têm dez tentativas para adivinhar o PIN no iPhone, a lista negra não o torna mais seguro, "conclui Maximilian Golla. Segundo os pesquisadores, a lista negra faria mais sentido em dispositivos Android, pois os invasores podem tentar mais PINs lá.

O estudo mostrou que a lista negra ideal para PINs de quatro dígitos deveria conter cerca de 1, 000 entradas e diferem ligeiramente da lista usada atualmente pela Apple. Os PINs de quatro dígitos mais comuns, de acordo com o estudo, são 1234, 0000, 2580 (os dígitos aparecem verticalmente um abaixo do outro no teclado numérico), 1111 e 5555.

No iPhone, os usuários têm a opção de ignorar o aviso de que inseriram um PIN usado com frequência. O dispositivo, Portanto, não impede de forma consistente que as entradas sejam selecionadas da lista negra. Para o propósito de seu estudo, os especialistas em segurança de TI também examinaram esse aspecto mais de perto. Alguns dos participantes do teste que inseriram um PIN da lista negra puderam escolher se queriam ou não inserir um novo PIN após o aviso. Os outros tiveram que definir um novo PIN que não estava na lista. Na média, os PINs de ambos os grupos eram igualmente difíceis de adivinhar.

Mais seguro do que bloqueios de padrão

Outro resultado do estudo foi que os PINs de quatro e seis dígitos são menos seguros do que as senhas, mas mais seguro do que os bloqueios de padrão.

Os PINs mais populares

De acordo com o estudo, os dez PINs de quatro dígitos mais populares são:1234, 0000, 2580, 1111, 5555, 5683, 0852, 2222, 1212, 1998

Os dez PINs de seis dígitos mais populares são:123456, 654321, 111111, 000000, 123123, 666666, 121212, 112233, 789456, 159753