Philipp Markert del Instituto Horst Görtz de Seguridad de TI de RUB (izquierda) y Maximilian Golla del Instituto Max Planck de Seguridad y Privacidad en Bochum colaboraron para el estudio. Crédito:RUB, Marquard
Un equipo germano-estadounidense de investigadores de seguridad de TI ha investigado cómo los usuarios eligen el PIN para sus teléfonos móviles y cómo se les puede convencer de que utilicen una combinación de números más segura. Descubrieron que los PIN de seis dígitos en realidad brindan poco más de seguridad que los de cuatro dígitos. También mostraron que la lista negra utilizada por Apple para evitar PIN particularmente frecuentes podría optimizarse y que tendría aún más sentido implementar una en dispositivos Android.
Philipp Markert, Daniel Bailey, y el profesor Markus Dürmuth del Instituto Horst Görtz para la seguridad informática de la Ruhr-Universität Bochum realizaron el estudio junto con el Dr. Maximilian Golla del Instituto Max Planck para la seguridad y la privacidad en Bochum y el profesor Adam Aviv de la Universidad George Washington en los EE. UU. Los investigadores presentarán los resultados en el Simposio IEEE sobre Seguridad y Privacidad en San Francisco en mayo de 2020.
Amplio estudio de usuarios
En el estudio, los investigadores hicieron que los usuarios de dispositivos Apple y Android establecieran PIN de cuatro o seis dígitos y luego analizaron qué tan fácil era adivinarlos. En el proceso, Supusieron que el atacante no conocía a la víctima y no le importaba de quién era el teléfono móvil desbloqueado. Respectivamente, la mejor estrategia de ataque sería probar primero los PIN más probables.
Algunos de los participantes del estudio tenían la libertad de elegir su PIN al azar. Otros solo podían elegir PIN que no estaban incluidos en una lista negra. Si intentaron utilizar uno de los PIN de la lista negra, recibieron una advertencia de que esta combinación de dígitos era fácil de adivinar.
En el experimento, los expertos en seguridad de TI utilizaron varias listas negras, incluido el real de Apple, que obtuvieron haciendo que una computadora probara todas las combinaciones posibles de PIN en un iPhone. Es más, también crearon sus propias listas negras más o menos completas.
Los PIN de seis dígitos no son más seguros que los de cuatro dígitos
Resultó que los PIN de seis dígitos no brindan más seguridad que los de cuatro dígitos. "Matemáticamente hablando, hay una gran diferencia, por supuesto, "dice Philipp Markert. Se puede usar un PIN de cuatro dígitos para crear 10, 000 combinaciones diferentes, mientras que un PIN de seis dígitos se puede utilizar para crear un millón. "Sin embargo, los usuarios prefieren ciertas combinaciones; algunos PIN se utilizan con más frecuencia, por ejemplo, 123456 y 654321, "explica Philipp Markert. Esto significa que los usuarios no aprovechan todo el potencial de los códigos de seis dígitos." Parece que los usuarios actualmente no comprenden intuitivamente qué es lo que hace que un PIN de seis dígitos sea seguro, "supone Markus Dürmuth.
Un PIN de cuatro dígitos elegido con prudencia es lo suficientemente seguro, principalmente porque los fabricantes limitan el número de intentos de ingresar un PIN. Apple bloquea el dispositivo por completo después de diez entradas incorrectas. En un teléfono inteligente Android, no se pueden introducir códigos diferentes uno tras otro en rápida sucesión. "En once horas, Se pueden probar 100 combinaciones de números, "señala Philipp Markert.
Las listas negras pueden ser útiles
Los investigadores encontraron 274 combinaciones de números en la lista negra de Apple para PIN de cuatro dígitos. "Dado que los usuarios solo tienen diez intentos para adivinar el PIN en el iPhone de todos modos, la lista negra no lo hace más seguro, ", concluye Maximilian Golla. Según los investigadores, la lista negra tendría más sentido en los dispositivos Android, ya que los atacantes pueden probar más PIN allí.
El estudio ha demostrado que la lista negra ideal para PIN de cuatro dígitos debería contener aproximadamente 1, 000 entradas y difieren ligeramente de la lista utilizada actualmente por Apple. Los PIN de cuatro dígitos más comunes, según el estudio, son 1234, 0000, 2580 (los dígitos aparecen verticalmente uno debajo del otro en el teclado numérico), 1111 y 5555.
En el iPhone los usuarios tienen la opción de ignorar la advertencia de que han ingresado un PIN de uso frecuente. El dispositivo, por lo tanto, no evita sistemáticamente que se seleccionen entradas de la lista negra. Para el propósito de su estudio, los expertos en seguridad informática también examinaron este aspecto más de cerca. A algunos de los participantes de la prueba que habían ingresado un PIN de la lista negra se les permitió elegir si ingresar o no un nuevo PIN después de la advertencia. Los demás tuvieron que establecer un nuevo PIN que no estaba en la lista. De media, los PIN de ambos grupos fueron igualmente difíciles de adivinar.
Más seguro que los candados de patrón
Otro resultado del estudio fue que los PIN de cuatro y seis dígitos son menos seguros que las contraseñas, pero más seguro que los candados de patrón.
Los PIN más populares
Según el estudio, Los diez PIN de cuatro dígitos más populares son:1234, 0000, 2580, 1111, 5555, 5683, 0852, 2222, 1212, 1998
Los diez PIN de seis dígitos más populares son:123456, 654321, 111111, 000000, 123123, 666666, 121212, 112233, 789456, 159753