Pin-код вгадати нескладно

Pin-код вгадати нескладно

23% опитаних вибирає PIN-код у вигляді дати, - і майже третина з них використовує дату свого народження. При цьому майже всі люди (99%) зберігають в гаманці з банківськими картами різні посвідчення особи, на яких ця дата надрукована. Якщо зловмисник знає день народження власника карти, то ймовірність вгадування PIN-коду злітає до 9%.

Незважаючи на важливу роль PIN-кодів в світовій інфраструктурі, до сих пір не проводилося академічних досліджень про те, як, власне, люди вибирають PIN-коди.

Використовуючи дані про витік паролів з небанківських джерел і онлайн-анкетування, вчені з'ясували, що до вибору PIN-кодів користувачі ставляться набагато серйозніше, ніж до вибору паролів для веб-сайтів: більшість кодів містять практично випадковий набір цифр. Проте, серед вихідних даних присутні і прості комбінації, і дні народження, - тобто, при деякому везінні зловмисник може просто вгадати заповітний код.

Відправною точкою дослідження був набір 4-ціферний послідовностей в паролі з бази RockYou (1.7 млн), і бази з 200 тисяч PIN-кодів від програми блокування екрану iPhone (базу надав розробник програми Daniel Amitay). У графіках, побудованих за цими даними, проступають цікаві закономірності - дати, року, повторювані цифри, і навіть PIN-коди, що закінчуються на 69.

На основі цих спостережень вчені побудували лінійну регресійну модель, яка оцінює популярність кожного PIN-коду в залежності від 25 чинників, - наприклад, чи є код датою в форматі ДДММ, чи є він зростаючої послідовністю, і так далі. Цим загальним умовам відповідають 79% і 93% PIN-кодів в кожному з наборів.

Pin-код вгадати нескладно

Отже, користувачі вибирають 4-ціферние коди на основі всього декількох простих факторів. Якби так вибиралися і банківські PIN-коди, 8-9% з них можна було б вгадати всього за три спроби! Але, звичайно, до банківських кодами люди ставляться набагато уважніше.

Зважаючи на відсутність скільки-небудь великого набору справжніх банківських даних, дослідники опитали понад 1300 осіб, щоб оцінити, наскільки реальні PIN-коди відрізняються від вже розглянутих. З огляду на специфіку дослідження, у респондентів запитували, чи не про самих кодах, а тільки про їх відповідність будь-якого з вищеназваних факторів (зростання, формат ДДММ, і т.д.).

Згідно з отриманими результатами, 64% власників карт використовують псевдовипадковий PIN-код, - це набагато більше, ніж 23-27% в попередніх експериментах з не-банківськими кодами. Ще 5% використовують цифровий патерн (наприклад, 4545), а 9% вважають за краще патерн на клавіатурі (наприклад, 2684). В цілому, зловмисник з шістьма спробами (три з банкоматом і три з платіжним терміналом) має менше 2% шансів вгадати PIN-код чужий карти.

Все б добре, але, на жаль, значна частина опитаних (23%) вибирає PIN-код у вигляді дати, - і майже третина з них використовує дату свого народження. Це істотно змінює справу, адже майже всі (99%) респонденти відповіли, що зберігають в гаманці з банківськими картами різні посвідчення особи, на яких ця дата надрукована. Якщо зловмисник знає день народження власника карти, то при грамотному підході ймовірність вгадування PIN-коду злітає до 9%.

100 найпопулярніших PIN-кодів:

P.S. На практиці, зрозуміло, зловмисникові набагато простіше підглянути ваш PIN-код, ніж вгадувати його. Але і від підглядання можна захиститися - навіть, здавалося б, в безвихідному становищі: