四位数和六位数的手机PIN的安全性如何?

 
一个由德国-美国IT安全研究人员组成的团队研究了用户如何为手机选择PIN，以及如何说服他们使用更安全的数字组合。他们发现，六位数的PIN实际上提供的安全性比四位数的PIN高。他们还表明，苹果用于阻止特别频繁的PIN的黑名单可以得到优化，并且在Android设备上实施黑名单更为有意义。
波鸿鲁尔大学霍斯特·戈茨信息技术安全研究所的Philipp Markert，Daniel Bailey和MarkusDürmuth教授与波鸿马克斯普朗克安全与隐私研究所的马克西米利安·古拉博士以及乔治·亚当·阿维夫教授共同开展了这项研究美国华盛顿大学。研究人员将在2020年5月于旧金山举行的IEEE安全与隐私研讨会上介绍研究结果。
广泛的用户研究
在这项研究中，研究人员让用户在Apple和Android设备上设置了四位数或六位数的PIN，然后分析了他们的猜测有多么容易。在此过程中，他们认为攻击者不认识受害者，也不在乎谁的手机已解锁。因此，最好的攻击策略是首先尝试最可能的PIN。
一些研究参与者可以自由地随机选择其PIN。其他人只能选择未包含在黑名单中的PIN。如果他们尝试使用列入黑名单的PIN之一，则会收到警告，提示您容易猜出此数字组合。
在实验中，IT安全专家使用了各种黑名单，包括苹果公司的黑名单，他们是通过让计算机测试iPhone上所有可能的PIN组合来获得的。此外，他们还创建了自己的或多或少的综合黑名单。
六位数PIN比四位数PIN更安全
结果表明，六位数PIN不能提供比四位数PIN更高的安全性。菲利普·马克特(Philipp Markert)说：“从数学上来说，当然有很大的不同。”四位数的PIN可用于创建10,000个不同的组合，而六位数的PIN可用于创建一百万个。 Philipp Markert解释说：“但是，用户更喜欢某些组合;更经常使用某些PIN，例如123456和654321。”这意味着用户无法充分利用六位数代码的全部潜力。 MarkusDürmuth认为：“似乎用户目前无法直观地理解使六位数PIN码变得安全的是什么。”
谨慎选择的四位数PIN是足够安全的，主要是因为制造商限制了尝试输入PIN的次数。十次错误输入后，Apple会完全锁定设备。在Android智能手机上，无法连续快速输入不同的代码。 Philipp Markert指出：“在11个小时内，可以测试100种数字组合。”
黑名单可能会有用
研究人员在苹果的黑名单上找到了274个数字组合，以显示四位数的PIN。 Maximilian Golla总结道：“由于用户只有十次尝试猜测iPhone上的PIN，因此黑名单并不能使其变得更加安全。”根据研究人员的说法，由于攻击者可以在其中尝试更多PIN，因此黑名单在Android设备上更有意义。
研究表明，理想的四位数PIN黑名单必须包含约1,000个条目，并且与Apple当前使用的列表略有不同。根据这项研究，最常见的四位数PIN是1234、0000、2580(数字在数字小键盘上垂直向下显示)，1111和5555。
在iPhone上，用户可以选择忽略输入了经常使用的PIN的警告。因此，设备不会始终阻止从黑名单中选择条目。为了他们的研究目的，IT安全专家还更加仔细地研究了这方面。一些从黑名单输入PIN的测试参与者被允许选择是否在警告后输入新PIN。其他人必须设置一个不在列表中的新PIN。平均而言，两组的PIN都同样难以猜测。
比图案锁更安全
该研究的另一个结果是，四位和六位PIN的安全性不如密码，但比模式锁定更安全。