Wie ist deine PIN?

Forscher_innen untersuchten, wie sicher vier- und sechsstellige Handy-PINs sind

Gehört ihr auch zu denjenigen, die zwar ihr Handy vor fremden Zugriffen schützen wollen, aber bei der Wahl der PIN dann doch ziemlich einfallslos bleiben? Viele überlegen sich PINs, die man schnell eintippen oder die man sich gut merken kann, weil der Klang der Ziffernfolge eingängig ist, sie einem besonderen Datum entspricht oder ein bestimmtes Muster auf der Tastatur ergibt. Definitiv unsicher sind dabei Vierer-Zahlenkombinationen wie 1234, 0000, 1212 etc., aber auch sechsstellige PINs wie 123456, 111111 oder 123123 sind nicht viel besser, auch wenn sie länger sind. Wie kann man Handynuntzer_innen dazu bringen, eine sicherere Ziffernkombination zu verwenden? Damit beschäftigte sich jetzt ein deutsch-amerikanisches Team von IT-Sicherheitsforschern, und auch sie stellten fest: sechsstellige PINs bringen in der Praxis kaum mehr Sicherheit als vierstellige. Dabei gibt es ja bereits Sperrlisten (zum Beispiel von Apple), die verhindern sollen, dass besonders häufige PINs benutzt werden. Offenbar gibt es aber hier noch Optimierungspotenzial.

In der Studie ließen die Wissenschaftler Nutzer_innen auf Apple- und Android-Geräten entweder vier- oder sechsstellige PINs vergeben und analysierten später, wie leicht diese zu knacken waren. Dabei gingen sie von einer angreifenden Person aus, die ihr Opfer nicht kennt und denen es egal ist, wessen Handy sie entsperren. Ihre beste Angriffsstrategie wäre es folglich, die wahrscheinlichsten PINs zuerst zu probieren.
Ein Teil der Proband_innen konnte die PIN in der Studie frei wählen. Andere konnten nur PINs wählen, die nicht auf einer Sperrliste standen. Versuchten sie eine der gesperrten PINs zu nutzen, wurden sie gewarnt, dass diese Ziffernkombination leicht zu erraten sei. Für den Versuch nutzten die IT-Sicherheitsexperten verschiedene Sperrlisten, unter anderem die echte von Apple, die sie erhielten, indem sie einen Computer alle möglichen PIN-Kombinationen an einem I-Phone durchtesten ließen. Außerdem fertigten sie eigene unterschiedlich umfangreiche Sperrlisten an.

Sechsstellige PINs nicht sicherer als vierstellige
Die Auswertung ergab, dass sechsstellige PINs in der Praxis nicht mehr Sicherheit bringen als vierstellige. „Mathematisch gesehen besteht natürlich ein Riesenunterschied“, sagt Philipp Markert von der Ruhr-Universität Bochum (RUB). Mit einer vierstelligen PIN lassen sich 10.000 verschiedene Kombinationen bilden, mit einer sechsstelligen eine Million. Viele würden aber bestimmte Kombinationen wie 123456 oder 654321 bevorzugen und schöpften das Potenzial der sechsstelligen Codes nicht aus. „Scheinbar fehlt den Nutzern derzeit noch die Intuition, was eine sechsstellige PIN sicher macht“, vermutet Dürmuth.

Eine vernünftig gewählte vierstellige PIN reicht wohl vor allem deswegen aus, weil die Hersteller die Anzahl der Versuche beschränken, wie häufig man eine PIN eingeben darf. Apple sperrt das Gerät nach zehn falschen Eingaben komplett. Auf einem Android-Smartphone kann man nicht beliebig schnell hintereinander verschiedene Codes eingeben. „In elf Stunden schafft man es, 100 Zahlenkombinationen zu testen“, erläutert Markert.

Sperrlisten können nützlich sein
Auf der Sperrliste von Apple für vierstellige PINs fanden die Forscher 274 Zahlenkombinationen. „Da man auf dem I-Phone aber eh nur zehn Rateversuche beim Eingeben der PIN hat, bringt die Sperrliste keinen Sicherheitsvorteil“, resümiert Maximilian Golla vom Bochumer Max-Planck-Institut für Cybersicherheit. Hilfreicher wäre die Sperrliste auf Android-Geräten, da Angreifer dort mehr PINs durchprobieren könnten.

Die ideale Sperrliste
Die ideale Sperrliste müsste laut der Studie bei vierstelligen PINs ungefähr 1.000 Einträge umfassen und etwas anders zusammengesetzt sein als die Liste, die Apple derzeit nutzt. Die häufigsten vierstelligen PINs laut Studie sind: 1234, 0000, 2580 (die Ziffern erscheinen auf dem Zahlenblock senkrecht untereinander), 1111 und 5555.
Auf dem I-Phone kann man die Warnung, dass man eine häufig verwendete PIN eingegeben hat, ignorieren. Damit wird also nicht konsequent verhindert, dass Einträge von der Sperrliste ausgewählt werden. Auch diesen Aspekt nahmen die IT-Sicherheitsexperten in ihrer Studie unter die Lupe. Ein Teil der Proband_innen, die eine PIN von der Sperrliste eingegeben hatten, durfte nach der Warnung wählen, ob sie eine neue PIN eingeben wollten oder nicht. Die übrigen mussten eine neue PIN setzen, die nicht auf der Liste stand. Im Durchschnitt waren die PINs beider Gruppen gleich schwer zu erraten.

PINs sicherer als Entsperrmuster
Ein weiteres Ergebnis der Studie war, dass vier- und sechsstellige PINs zwar unsicherer als Passwörter sind, aber sicherer als Entsperrmuster.

Über die Forscher_innen*
Philipp Markert, Daniel Bailey und Prof. Dr. Markus Dürmuth vom Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum (RUB) kooperierten für die Studie mit Dr. Maximilian Golla vom Bochumer Max-Planck-Institut für Cybersicherheit und Schutz der Privatsphäre sowie Prof. Dr. Adam Aviv von der US-amerikanischen George Washington University. Die Ergebnisse, die sie vorab online stellten, präsentieren die Forscher im Mai 2020 auf dem IEEE Symposium on Security and Privacy in San Francisco.

Quelle:

Was denkst du darüber?
Autorin / Autor: Redaktion/ Pressemitteilung