Augsburger Allgemeine (Ausgabe Stadt)
Eine lange PIN ist nicht besser
Spannende Studie
Sechsstellige PINS zum Sperren des Smartphones bringen in der Praxis kaum mehr Sicherheit als vierstellige. Das hat ein Forscherteam der Ruhr-universität Bochum, des Max-planck-instituts für Cybersicherheit und der George Washington University in einer Nutzerstudie herausgefunden.
Bei der Anzahl der Pin-stellen bestehe mathematisch gesehen natürlich ein Riesenunterschied, so die Forscher. Allerdings hätten Nutzer Vorlieben für bestimmte Kombinationen. Manche PINS wie 123456 und 654321 würden besonders häufig genutzt.
Die Anwender schöpften das Potenzial sechsstelliger Codes also nicht aus. Offenbar fehle ihnen derzeit noch die Intuition, was eine sechsstellige PIN sicher macht, interpretieren die Wissenschaftler das Studienergebnis.
Eine vernünftig gewählte vierstellige PIN sei vor allem deshalb ausreichend sicher, weil die Hersteller die Anzahl der Versuche beschränken, wie häufig man eine PIN eingeben darf. Apple sperrt iosgeräte nach zehn falschen Eingaben. Und auf Androiden kann man nicht beliebig schnell hintereinander verschiedene Codes eingeben – nicht mehr als 100 Zahlenkombinationen in elf Stunden ließen sich durchprobieren.
Apple unterhält eine Pin-sperrliste für unsichere vierstellige PINS, in der die Forscher 274 Zahlenkombinationen fanden. Da man auf iphones aber ohnehin nicht mehr als zehn Versuche beim Eingeben der PIN hat, brächte die Sperrliste keinen Sicherheitsvorteil – zumal man auf iphones Warnungen, dass man eine häufig verwendete PIN eingegeben hat, ignorieren kann.
Hilfreicher wäre nach Ansicht der Wissenschaftler eine Sperrliste auf Android-geräten. Denn dort können Angreifer ja viel mehr PINS durchprobieren: Die ideale Sperrliste müsste der Studie zufolge bei vierstelligen PINS ungefähr 1000 Einträge umfassen und etwas anders zusammengesetzt sein als die Appleliste.