Wie sicher vier- und sechsstellige Handy-PINs sind

Philipp Markert vom Horst-Görtz-Institut für IT-Sicherheit der RUB (links) und Maximilian Golla vom Bochumer Max-Planck-Institut für Cybersicherheit und Schutz der Privatsphäre © RUB, Marquard (Dieses Foto darf nur in Zusammenhang mit der Presseinformation verwendet werden, bei der es zum Download steht.)

Philipp Markert, Daniel Bailey und Prof. Dr. Markus Dürmuth vom Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum (RUB) kooperierten für die Studie mit Dr. Maximilian Golla vom Bochumer Max-Planck-Institut für Cybersicherheit und Schutz der Privatsphäre sowie Prof. Dr. Adam Aviv von der US-amerikanischen George Washington University. Die Ergebnisse, die sie vorab online stellten (https://arxiv.org/abs/2003.04868), präsentieren die Forscher im Mai 2020 auf dem IEEE Symposium on Security and Privacy in San Francisco.

Umfangreiche Nutzerstudie

In der Studie ließen die Wissenschaftler Nutzerinnen und Nutzer auf Apple- und Android-Geräten entweder vier- oder sechsstellige PINs vergeben und analysierten später, wie leicht diese zu erraten waren. Dabei gingen sie von einem Angreifer oder einer Angreiferin aus, die ihr Opfer nicht kennen und denen es egal ist, wessen Handy sie entsperren. Ihre beste Angriffsstrategie wäre es folglich, die wahrscheinlichsten PINs zuerst zu probieren.

Ein Teil der Probanden konnte die PIN in der Studie frei wählen. Andere konnten nur PINs wählen, die nicht auf einer Sperrliste standen. Versuchten sie eine der gesperrten PINs zu nutzen, erhielten sie eine Warnung, dass diese Ziffernkombination leicht zu erraten sei.

Für den Versuch nutzten die IT-Sicherheitsexperten verschiedene Sperrlisten, unter anderem die echte von Apple, die sie erhielten, indem sie einen Computer alle möglichen PIN-Kombinationen an einem I-Phone durchtesten ließen. Außerdem fertigten sie eigene unterschiedlich umfangreiche Sperrlisten an.

Sechsstellige PINs nicht sicherer als vierstellige

Die Auswertung ergab, dass sechsstellige PINs in der Praxis nicht mehr Sicherheit bringen als vierstellige. „Mathematisch gesehen besteht natürlich ein Riesenunterschied“, sagt Philipp Markert. Mit einer vierstelligen PIN lassen sich 10.000 verschiedene Kombinationen bilden, mit einer sechsstelligen eine Million. „Aber die Nutzer haben Vorlieben für bestimmte Kombinationen, manche PINs werden besonders häufig genutzt, beispielsweise 123456 und 654321“, erklärt Philipp Markert. Die Anwenderinnen und Anwender schöpfen das Potenzial der sechsstelligen Codes also nicht aus. „Scheinbar fehlt den Nutzern derzeit noch die Intuition, was eine sechsstellige PIN sicher macht“, vermutet Markus Dürmuth.

Eine vernünftig gewählte vierstellige PIN ist vor allem deswegen ausreichend sicher, weil die Hersteller die Anzahl der Versuche beschränken, wie häufig man eine PIN eingeben darf. Apple sperrt das Gerät nach zehn falschen Eingaben komplett. Auf einem Android-Smartphone kann man nicht beliebig schnell hintereinander verschiedene Codes eingeben. „In elf Stunden schafft man es, 100 Zahlenkombinationen zu testen“, erläutert Philipp Markert.

Sperrlisten können nützlich sein

Auf der Sperrliste von Apple für vierstellige PINs fanden die Forscher 274 Zahlenkombinationen. „Da man auf dem I-Phone aber eh nur zehn Rateversuche beim Eingeben der PIN hat, bringt die Sperrliste keinen Sicherheitsvorteil“, resümiert Maximilian Golla. Hilfreicher wäre die Sperrliste laut den Wissenschaftlern auf Android-Geräten, da Angreifer dort mehr PINs durchprobieren könnten.

Die ideale Sperrliste müsste laut der Studie bei vierstelligen PINs ungefähr 1.000 Einträge umfassen und etwas anders zusammengesetzt sein als die Liste, die Apple derzeit nutzt. Die häufigsten vierstelligen PINs laut Studie sind: 1234, 0000, 2580 (die Ziffern erscheinen auf dem Zahlenblock senkrecht untereinander), 1111 und 5555.

Auf dem I-Phone können Nutzerinnen und Nutzer die Warnung, dass sie eine häufig verwendete PIN eingegeben haben, ignorieren. Das Gerät verhindert also nicht konsequent, dass Einträge von der Sperrliste ausgewählt werden. Auch diesen Aspekt nahmen die IT-Sicherheitsexperten in ihrer Studie unter die Lupe. Ein Teil der Probanden, die eine PIN von der Sperrliste eingegeben hatten, durfte nach der Warnung wählen, ob sie eine neue PIN eingeben wollten oder nicht. Die übrigen mussten eine neue PIN setzen, die nicht auf der Liste stand. Im Durchschnitt waren die PINs beider Gruppen gleich schwer zu erraten.

Sicherer als Entsperrmuster

Ein weiteres Ergebnis der Studie war, dass vier- und sechsstellige PINs zwar unsicherer als Passwörter sind, aber sicherer als Entsperrmuster.

Die beliebtesten PINs

Nutzerinnen und Nutzer überlegen sich PINs, die sie schnell eintippen können oder die sie sich gut merken können – zum Beispiel, weil der Klang der Ziffernfolge eingängig ist, sie einem besonderen Datum entspricht oder ein bestimmtes Muster auf der Tastatur ergibt. Auch Zahlencodes, die nach T9-Texterkennung ein bestimmtes Wort ergeben (etwa 5683 als Ziffernfolge für „love“) kommen vor.

Die zehn beliebtesten vierstelligen PINs sind nach der aktuellen Studie: 1234, 0000, 2580, 1111, 5555, 5683, 0852, 2222, 1212, 1998 (sortiert nach absteigender Beliebtheit). Die beliebtesten sechsstelligen PINs: 123456, 654321, 111111, 000000, 123123, 666666, 121212, 112233, 789456, 159753

Philipp Markert
Arbeitsgruppe Mobile Security
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: +49 234 32 28669
E-Mail: philipp.markert@rub.de

Dr. Maximilian Golla
Max-Planck-Institut für Cybersicherheit und Schutz der Privatsphäre
Tel.: +49 234 32 28667
E-Mail: maximilian.golla@csp.mpg.de

Philipp Markert, Daniel V. Bailey, Maximilian Golla, Markus Dürmuth, Adam J. Aviv: This PIN can be easily guessed, IEEE Symposium on Security and Privacy (SP ’20), San Francisco, USA, 2020

Media Contact

Dr. Julia Weiler idw - Informationsdienst Wissenschaft

Weitere Informationen:

http://www.ruhr-uni-bochum.de/

Alle Nachrichten aus der Kategorie: Informationstechnologie

Neuerungen und Entwicklungen auf den Gebieten der Informations- und Datenverarbeitung sowie der dafür benötigten Hardware finden Sie hier zusammengefasst.

Unter anderem erhalten Sie Informationen aus den Teilbereichen: IT-Dienstleistungen, IT-Architektur, IT-Management und Telekommunikation.

Zurück zur Startseite

Kommentare (0)

Schreiben Sie einen Kommentar

Neueste Beiträge

Selen-Proteine …

Neuer Ansatzpunkt für die Krebsforschung. Eine aktuelle Studie der Uni Würzburg zeigt, wie ein wichtiges Enzym in unserem Körper bei der Produktion von Selen-Proteinen unterstützt – für die Behandlung von…

Pendler-Bike der Zukunft

– h_da präsentiert fahrbereiten Prototyp des „Darmstadt Vehicle“. Das „Darmstadt Vehicle“, kurz DaVe, ist ein neuartiges Allwetter-Fahrzeug für Pendelnde. Es ist als schnelle und komfortable Alternative zum Auto gedacht, soll…

Neuartige Methode zur Tumorbekämpfung

Carl-Zeiss-Stiftung fördert Projekt der Hochschule Aalen mit einer Million Euro. Die bisherige Krebstherapie effizienter gestalten bei deutlicher Reduzierung der Nebenwirkungen auf gesundes Gewebe – dies ist das Ziel eines Projekts…