„123456“: So unsicher sind die PIN-Codes unserer Smartphones
(np) Wie gut ist mein Smartphone vor dem Zugriff von Hackern geschützt? Wie sicher ist mein Online-Zugang für die Bank? Und die Kreditkarte? Die Schutzmechanismen für Zahlungsdienste und IT-Geräte setzen meist auf die PIN, die „Persönliche Identifikationsnummer“. Und die ist meist vierstellig. Das bedeutet, dass es maximal 10 000 Versuche braucht, um einen solchen Code durch pures Ausprobieren herauszufinden. Wäre ein Code mit einer größeren Anzahl Stellen sicherer? Nicht unbedingt, antworten Informatiker
der Ruhr-Universität Bochum. Sie erklären, dass eine sechsstellige PIN in der Praxis nicht mehr Sicherheit bringe. Im schlimmsten Fall sei ein sechsstelliger Code sogar unsicherer als ein vierstelliger.
In der Studie ließen Philipp Markert, Daniel Bailey und Professor Markus Dürmuth zusammen mit US-Forschern eine Reihe von Testpersonen 1200 vier- und sechsstellige PINs auswählen. Aufgabe des Angriffsteams war es, diese Codes zu knacken. Die beste Angriffsstrategie besteht bei einem unbekannten Opfer darin, häufig verwendete PINs durchzuprobieren.
Das Ergebnis des Versuchs straft die Mathematik Lügen. „Mathematisch gesehen besteht natürlich ein Riesenunterschied“, sagt Philipp Markert. Ein sechsstelliger Code ermöglicht eine Million Kombinationen, hundertmal mehr als ein vierstelliger Code. Das gilt aber nur, wenn die Möglichkeiten, die ein sechsstelliger Code bietet, wirklich umgesetzt werden. „Aber die Nutzer haben Vorlieben für bestimmte Kombinationen, manche PINs werden besonders häufig verwendet, beispielsweise 123456 und 654321.“Auch die besonders beliebten Ziffernkombinationen 111111, 000000, 123123 und 666666 machen den theoretischen Gewinn an Sicherheit wieder zunichte.
Die Informatiker kommen zum Ergebnis, dass eine klug ausgewählte vierstellige PIN ausreichend sicher ist, weil die Hersteller die Anzahl der Versuche bei der Eingabe beschränken. Apple sperre das Gerät nach zehn falschen Eingaben. Auf einem Android-Smartphone kann man nicht beliebig schnell hintereinander verschiedene Codes eingeben. „In elf Stunden schafft man es, 100 Zahlenkombinationen zu testen“, erläutert Philipp Markert. Apple hat eine Liste von 274 verbotenen Kombinationen für vierstellige PINs. „Da man auf dem iPhone aber eh nur zehn Versuche beim Eingeben der PIN hat, bringt die Sperrliste keinen Sicherheitsvorteil“, resümiert Maximilian Golla. Hilfreicher wäre die Sperrliste laut den Wissenschaftlern auf Android-Geräten, da Angreifer dort mehr PINs durchprobieren könnten.