Wie si­cher Han­dy-PINs sind

Rap­per Kanye West pas­sier­te 2018 ein Mal­heur, als er vor lau­fen­den Fern­seh­ka­me­ras sein Handy ent­sperr­te und sich seine PIN als 000000 her­aus­stell­te. Dass diese Kom­bi­na­ti­on nicht die si­chers­te ist, ist be­kannt. Trotz­dem er­freu­en sich leicht zu mer­ken­de Zif­fern­fol­gen nach wie vor gro­ßer Be­liebt­heit, wie eine Stu­die von Bo­chu­mer IT-Si­cher­heits­for­schern mit US-ame­ri­ka­ni­schen Kol­le­gen ergab.

Das Team vom Horst-Görtz-In­sti­tut der RUB um Phil­ipp Mar­kert, Da­ni­el Bai­ley und Prof. Dr. Mar­kus Dür­muth ana­ly­sier­te ge­mein­sam mit Dr. Ma­xi­mi­li­an Golla vom Bo­chu­mer Max-Planck-In­sti­tut für Cy­ber­si­cher­heit und Schutz der Pri­vat­sphä­re sowie Prof. Dr. Adam Aviv von der US-ame­ri­ka­ni­schen Ge­or­ge Wa­shing­ton Uni­ver­si­ty, wie Nut­ze­rin­nen und Nut­zer ihre PINs aus­su­chen und wie man sie dazu brin­gen kann, sie si­che­rer zu ma­chen. Die Er­geb­nis­se stel­len sie im Mai 2020 auf dem IEEE Sym­po­si­um on Se­cu­ri­ty and Pri­va­cy in San Fran­cis­co vor.

Um­fang­rei­che Nut­zer­stu­die

In der Stu­die lie­ßen die Wis­sen­schaft­ler Nut­ze­rin­nen und Nut­zer auf App­le- und An­dro­id-Ge­rä­ten ent­we­der vier- oder sechs­stel­li­ge PINs ver­ge­ben und ana­ly­sier­ten spä­ter, wie leicht diese zu er­ra­ten waren. Dabei gin­gen sie von einem An­grei­fer oder einer An­grei­fe­rin aus, die ihr Opfer nicht ken­nen und denen es egal ist, wes­sen Handy sie ent­sper­ren. Ihre beste An­griffs­stra­te­gie wäre es folg­lich, die wahr­schein­lichs­ten PINs zu­erst zu pro­bie­ren.

Ein Teil der Pro­ban­den konn­te die PIN in der Stu­die frei wäh­len. An­de­re konn­ten nur PINs wäh­len, die nicht auf einer Sperr­lis­te stan­den. Ver­such­ten sie eine der ge­sperr­ten PINs zu nut­zen, er­hiel­ten sie eine War­nung, dass diese Zif­fern­kom­bi­na­ti­on leicht zu er­ra­ten sei.

Für den Ver­such nutz­ten die IT-Si­cher­heits­ex­per­ten ver­schie­de­ne Sperr­lis­ten, unter an­de­rem die echte von Apple, die sie er­hiel­ten, indem sie einen Com­pu­ter alle mög­li­chen PIN-Kom­bi­na­tio­nen an einem I-Pho­ne durch­tes­ten lie­ßen. Au­ßer­dem fer­tig­ten sie ei­ge­ne un­ter­schied­lich um­fang­rei­che Sperr­lis­ten an.

Sechs­stel­li­ge PINs nicht si­che­rer als vier­stel­li­ge

Die Aus­wer­tung ergab, dass sechs­stel­li­ge PINs in der Pra­xis nicht mehr Si­cher­heit brin­gen als vier­stel­li­ge. „Ma­the­ma­tisch ge­se­hen be­steht na­tür­lich ein Rie­sen­un­ter­schied“, sagt Phil­ipp Mar­kert. Mit einer vier­stel­li­gen PIN las­sen sich 10.​000 ver­schie­de­ne Kom­bi­na­tio­nen bil­den, mit einer sechs­stel­li­gen eine Mil­li­on. „Aber die Nut­zer haben Vor­lie­ben für be­stimm­te Kom­bi­na­tio­nen, man­che PINs wer­den be­son­ders häu­fig ge­nutzt, bei­spiels­wei­se 123456 und 654321“, er­klärt Phil­ipp Mar­kert. Mehr dazu unter https://​news.​rub.​de/​presseinformationen/​wissenschaft/​2020-03-11-it-sicherheit-wie-sicher-vier-und-sechsstellige-handy-pins-sind. 

The la­test work on the se­cu­ri­ty of 4- and 6-di­git PINs and the ef­fect of black­lists is now avail­able on­line at https://this-pin-can-be-ea­si­ly-gues­sed.​github.​io/​.