image

Onderzoek: 6-cijferige pin niet altijd veiliger dan 4-cijferige pin

zaterdag 14 maart 2020, 09:06 door Redactie, 7 reacties

Een zescijferige pincode om een smartphone mee te beveiligen is niet altijd veiliger dan een viercijferige pincode bij een aanvaller die niet op grote schaal pincodes kan proberen. En zescijferige pincodes kunnen de veiligheid zelfs verminderen, zo stellen onderzoekers van Ruhr University Bochum, het Max Planck Institute en de George Washington University.

Voor het onderzoek lieten de onderzoekers 1220 deelnemers over een periode van drie weken via de browser vier- en zescijferige pincodes invoeren. Deelnemers mochten alleen deelnemen vanaf een mobiel apparaat. Op deze manier ontvingen de onderzoekers 851 vier- en 369 zescijferige pincodes. Uit het onderzoek blijkt dat een zescijferige pincode weinig voordelen in vergelijking met een viercijferige pin heeft. Deelnemers bleken namelijk eenvoudiger te raden zescijferige pincodes te kiezen als er rekening wordt gehouden met de eerste veertig pogingen van een aanvaller om het wachtwoord te raden.

Bij tien raadpogingen op iOS, het maximum toegestane aantal, werd 4,6 procent van de viercijferige pincodes en 6,5 procent van de zescijferige pincodes van de deelnemers aan het onderzoek geraden. Bij dertig pogingen op Android ging het om respectievelijk 7,6 procent en 8,9 procent. Wanneer een aanvaller honderd pogingen op Android heeft werd 16,2 procent van de viercijferige pincodes en 13,3 procent van de zescijferige pincodes achterhaald.

De onderzoekers merken op dat het juist de verwachting was dat zescijferige pincodes lastiger te raden zouden zijn. Een reden dat dit bij de eerste veertig pogingen niet het geval is komt doordat de meestgebruikte zescijferige pincodes minder verschillen ten opzichte van de meestgebruikte viercijferige pincodes. De meestgebruikte zescijferige pincodes bestaan uit eenvoudige pincodes zoals 123456. Bij de viercijferige pincodes gaat het om eenvoudige pincodes, patronen, datums en herhalende cijfers. Dit zorgt ervoor dat een zescijferige pincode eenvoudiger te raden kan zijn, omdat ze minder divers zijn dan viercijferige pincodes.

Een verklaring kan zijn dat gebruikers een vals gevoel van veiligheid bij zescijferige pincodes hebben en denken dat ze geen complexe pincode hoeven te kiezen omdat de pincode al "twee cijfers" veiliger is dan een viercijferige pincode. Een exacte reden voor dit gedrag van mensen zou echter verder moeten worden onderzocht, zo laten de onderzoekers weten.

Blacklists

Daarnaast keken de onderzoekers naar de effectiviteit van pin-blacklists, die bepaalde pincodes verbieden. Apple maakt voor iOS gebruik van dergelijke blacklists. Zo zijn 274 viercijferige en 2910 zescijferige pincodes verboden. De kleine blacklists bieden volgens de onderzoekers weinig tot geen bescherming tegen een "throttled" aanval, waarbij de aanvaller een klein aantal pincodes kan proberen. Bijvoorbeeld omdat er na elke foutpoging een tijdspauze wordt ingelast. Dit verschilt van een situatie waarbij een aanvaller via een bruteforce-aanval eindeloos pincodes kan proberen.

Voor een aanvaller blijkt dat de huidige blacklists die Apple toepast niet veel uitmaken bij het raden van pincodes, terwijl de blacklists dit juist moeten voorkomen. "In een dergelijk model is het van groot belang dat het raden van de pincode in de eerste paar pogingen wordt voorkomen", aldus de onderzoekers. Die merken op dat blacklists veel groter moeten zijn om betere bescherming te bieden, maar dat dit voor frustratie bij gebruikers kan zorgen.

Afsluitend concluderen de onderzoekers dat het weinig zin heeft om zomaar de lengte van een pincode te vergroten en applicatie-ontwikkelaars hier rekening mee moeten houden. Een blacklist kan effectief zijn bij viercijferige pincodes, maar zou dan wel tien procent van alle mogelijke combinaties moeten bevatten. De effectiviteit bij zescijferige pincodes moet nog worden onderzocht.

Image

Reacties (7)
14-03-2020, 11:27 door Anoniem
Ik sn ap niet waarom een kleine blacklist van 2910 zescijferige pins met makkelijk te raden varianten zoals 111111 niet veel uit zou maken. Kan iemand dat uitleggen?
14-03-2020, 17:27 door Briolet
Zo'n uitslag is heel moeilijk te vertalen naar een echte pincode waar je iets wezenlijks mee beschermd.

Nu moeten de deelnemers een pincode aanmaken ten behoeve van een onderzoek dat maar een paar week loopt. Dan kies je heel andere codes dan waarmee je een bankrekening beschermd. Als deze code uitlekt is hooguit het onderzoek van een ander gecompromitteerd. Dan ben je eerder geneigd om even 654321 te kiezen als pincode.
14-03-2020, 20:57 door Anoniem
De iPhone attack die de Mossad gebruikt is middels een power-cut van de security-enclave op het moment dat de CPU een signaal ontvangt dat het wachtwoord niet goed is. Daardoor is het noodzakelijk om de iPhone na elke poging opnieuw te booten.

Stel elke boot kost 10 seconden, dan is het mogelijk in 10x10.000 = 100.000 seconden = 27 uur een iPhone te hacken op basis van een vier-cijferige (random) pin.
15-03-2020, 09:50 door Anoniem
Door Anoniem: Ik sn ap niet waarom een kleine blacklist van 2910 zescijferige pins met makkelijk te raden varianten zoals 111111 niet veel uit zou maken. Kan iemand dat uitleggen?

Ik gok dat dat is omdat mensen de meeste van die codes zelf ook al niet erg veilig vinden klinken en ze dus codes blacklisten die toch al niet gebruikt werden.
15-03-2020, 10:03 door Anoniem
Door Briolet: Zo'n uitslag is heel moeilijk te vertalen naar een echte pincode waar je iets wezenlijks mee beschermd.

BeschermT.

Opzich heb je een punt dat men eerdergeneigd is om een simpele code te kiezen voor een onderzoek,maar ik vrees dat de manier waarop ze een code verzinnen voor een onderzoek echt niet veel afwijkt van hoe ze een pincode voor de bank verzinnen. Er is een reden waarom er blacklistsworden gebruikt en waarom banken je vaak een code opdringen, en dat is niet omdat mensen zelf zulke geweldige codes verzinnen.
16-03-2020, 10:16 door Anoniem
Inderdaad, het toont aan dat de randomization die mensen doen niet echt random zal zijn.

https://xkcd.com/221/

en

https://www.random.org/analysis/ (vooral de Dilbert strip is leuk)
16-03-2020, 10:48 door Anoniem
Duh moet je wetenschappelijk onderzoek doen om erachter te komen dat wachtwoord 000000 of 123456 onveiliger is dan 8491 ? Lagere school onderzoek.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.