Un team tedesco-americano di ricercatori sulla sicurezza IT ha studiato come gli utenti scelgono il PIN per i loro telefoni cellulari e come possono essere convinti a utilizzare una combinazione di numeri più sicura. Hanno scoperto che i PIN a sei cifre in realtà forniscono un po' più di sicurezza rispetto a quelli a quattro cifre. Hanno anche dimostrato che la blacklist utilizzata da Apple per prevenire PIN particolarmente frequenti potrebbe essere ottimizzata e che avrebbe ancora più senso implementarne una sui dispositivi Android.

Philipp Marker, Daniel Bailey, e il professor Markus Dürmuth dell'Horst Görtz Institute for IT Security presso la Ruhr-Universität Bochum hanno condotto lo studio insieme al dott. Maximilian Golla del Max Planck Institute for Security and Privacy di Bochum e al professor Adam Aviv della George Washington University negli Stati Uniti. I ricercatori presenteranno i risultati all'IEEE Symposium on Security and Privacy a San Francisco nel maggio 2020.

Ampio studio sugli utenti

Nello studio, i ricercatori hanno chiesto agli utenti di dispositivi Apple e Android di impostare PIN a quattro o sei cifre e in seguito hanno analizzato quanto fossero facili da indovinare. Nel processo, presumevano che l'aggressore non conoscesse la vittima e non gli importasse di chi fosse il cellulare sbloccato. Di conseguenza, la migliore strategia di attacco sarebbe provare prima i PIN più probabili.

Alcuni dei partecipanti allo studio erano liberi di scegliere il proprio PIN a caso. Altri potevano scegliere solo i PIN che non erano inclusi in una lista nera. Se hanno provato a utilizzare uno dei PIN nella lista nera, ricevettero un avviso che questa combinazione di cifre era facile da indovinare.

Nell'esperimento, gli esperti di sicurezza informatica hanno utilizzato varie blacklist, compreso quello vero di Apple, che hanno ottenuto facendo testare a un computer tutte le possibili combinazioni di PIN su un iPhone. Inoltre, hanno anche creato le proprie liste nere più o meno complete.

PIN a sei cifre non più sicuri di quelli a quattro cifre

È emerso che i PIN a sei cifre non offrono maggiore sicurezza rispetto a quelli a quattro cifre. "Matematicamente parlando, c'è un'enorme differenza, Certo, " dice Philipp Markert. Un PIN di quattro cifre può essere utilizzato per creare 10, 000 diverse combinazioni, mentre un PIN a sei cifre può essere utilizzato per creare un milione. "Però, gli utenti preferiscono determinate combinazioni; alcuni PIN vengono utilizzati più frequentemente, Per esempio, 123456 e 654321, " spiega Philipp Markert. Ciò significa che gli utenti non sfruttano appieno il potenziale dei codici a sei cifre. "Sembra che gli utenti attualmente non comprendano intuitivamente cosa rende sicuro un PIN a sei cifre, " suppone Markus Dürmuth.

Un PIN di quattro cifre scelto con prudenza è abbastanza sicuro, principalmente perché i produttori limitano il numero di tentativi di inserimento di un PIN. Apple blocca completamente il dispositivo dopo dieci inserimenti errati. Su uno smartphone Android, codici diversi non possono essere inseriti uno dopo l'altro in rapida successione. "In undici ore, 100 combinazioni di numeri possono essere testate, " precisa Philipp Markert.

Le blacklist possono essere utili

I ricercatori hanno trovato 274 combinazioni di numeri nella lista nera di Apple per i PIN a quattro cifre. "Dato che gli utenti hanno comunque solo dieci tentativi di indovinare il PIN sull'iPhone, la lista nera non lo rende più sicuro, " conclude Massimiliano Golla. Secondo i ricercatori, la lista nera avrebbe più senso sui dispositivi Android, poiché gli aggressori possono provare più PIN lì.

Lo studio ha dimostrato che la lista nera ideale per i PIN a quattro cifre dovrebbe contenere circa 1, 000 voci e differiscono leggermente dall'elenco attualmente utilizzato da Apple. I PIN a quattro cifre più comuni, secondo lo studio, sono 1234, 0000, 2580 (le cifre appaiono verticalmente una sotto l'altra sul tastierino numerico), 1111 e 5555.

Sull'iPhone, gli utenti hanno la possibilità di ignorare l'avviso di aver immesso un PIN utilizzato di frequente. Il dispositivo, perciò, non impedisce costantemente la selezione delle voci dalla lista nera. Ai fini del loro studio, gli esperti di sicurezza informatica hanno anche approfondito questo aspetto. Alcuni dei partecipanti al test che avevano inserito un PIN dalla lista nera potevano scegliere se inserire o meno un nuovo PIN dopo l'avviso. Gli altri hanno dovuto impostare un nuovo PIN che non era nell'elenco. In media, i PIN di entrambi i gruppi erano ugualmente difficili da indovinare.

Più sicuro dei blocchi a schema

Un altro risultato dello studio è stato che i PIN a quattro e sei cifre sono meno sicuri delle password, ma più sicuro dei blocchi di pattern.

I PIN più popolari

Secondo lo studio, i dieci PIN a quattro cifre più popolari sono:1234, 0000, 2580, 1111, 5555, 5683, 0852, 2222, 1212, 1998

I dieci PIN a sei cifre più popolari sono:123456, 654321, 111111, 000000, 123123, 666666, 121212, 112233, 789456, 159753