wissen.de
Total votes: 10
wissen.de Artikel

Wie sicher ist die PIN-Vergabe bei Smartphones?

Die meisten Smartphone-Nutzer sind bei der Wahl ihrer PIN nicht besonders einfallsreich. Mit Sperrlisten für Ziffernkombinationen, die zu einfach zu erraten sind, könnten sie sich jedoch „umerziehen“ lassen. Wie aber müssen solche Sperrlisten aufgebaut sein, damit sie wirklich einen Effekt haben? Und was macht einen Sperrcode überhaupt sicher? Forscher haben dies nun genauer untersucht – mit überraschenden Ergebnissen.

Smartphone-Login
Wie verhindert man, dass der Sperrcode zu einfach gewählt wird und damit unsicher?

Lautet die PIN für Ihr Smartphone 1234? Dann gehören auch Sie zu dem großen Teil der Smartphone-Nutzer, die sich einen möglichst einfachen Sperrcode ausgesucht haben. Tatsächlich neigen viele Menschen dazu, solche einfachen Zahlenkombinationen für ihre digitalen Geräte zu nutzen – und gehen damit unnötige Risiken ein. Denn je leichter der PIN-Code zu erraten ist, desto einfacher ist es auch für Unbefugte, sich Zugriff zu verschaffen.

Forscher um Phillip Markert von der Ruhr-Universität Bochum haben daher nun untersucht, wie man Smartphone-Nutzer "umerziehen" könnte. Kurzum: Wie lassen sie sich dazu bringen, eine möglichst sichere PIN zu wählen?

Eine Million mögliche Ziffernfolgen

Für die Studie sollten die Teilnehmer entweder vier- oder sechsstellige PINs vergeben. Ein Teil der Probanden konnte ihren Sperrcode dabei frei wählen. Die anderen Studienteilnehmer waren bei ihrer Wahl dagegen eingeschränkt: Sie konnten sich nur dann für eine bestimmte Zahlenkombination entscheiden, wenn diese nicht auf einer Sperrliste stand. Versuchten sie dennoch, eine der gesperrten PINs zu nutzen, erhielten sie eine Warnung, dass die Ziffernkombination zu leicht zu erraten wäre.

Die Forscher untersuchten anschließend, wie leicht sich die gewählten PINs erraten ließen – und welchen Effekt die Sperrlisten dabei hatten. Dabei gingen sie von einem Angreifer aus, der den Besitzer des Handys nicht kennt. Wie sich zeigte, bringen sechsstellige PINs nicht mehr Sicherheit als vierstellige, obwohl dies aus statistischer Sicht völlig anders sein sollte: „Mathematisch gesehen besteht natürlich ein Riesenunterschied“, sagt Markert. Wie der Wissenschaftler erläutert, lassen sich mit einer vierstelligen PIN 10.000 verschiedene Kombinationen bilden, mit einer sechsstelligen eine Million.

Beliebteste PIN: 1234

Ein Grund für dieses überraschende Ergebnis könnte nach Ansicht der Forscher die Faulheit der Nutzer sein. Sie überlegen sich unabhängig von der Anzahl der Stellen meist PINs, die sie schnell eintippen können oder die sie sich gut merken können – zum Beispiel, weil der Klang der Ziffernfolge eingängig ist, sie einem besonderen Datum entspricht oder ein bestimmtes Muster auf der Tastatur ergibt. Oft werden auch Ziffernkombinationen genutzt, die nach T9-Texterkennung ein bestimmtes Wort ergeben, wie 5683 als Ziffernfolge für „love“.

„Die Nutzer haben Vorlieben für bestimmte Kombinationen, manche PINs werden besonders häufig genutzt, beispielsweise 123456 und 654321“, erklärt Markert. Zu den beliebtesten vierstelligen PINs gehören der aktuellen Studie zufolge 1234, 0000 und 2580, die beliebtesten sechsstelligen PINs lauten 123456, 654321 und 111111.

Sperrliste für Android sinnvoller

Wie leicht ein Sperrcode zu erraten ist, hängt auch von einem weiteren Faktor ab: Verschiedene Hersteller beschränken die Anzahl der Versuche, eine PIN einzugeben. Wegen dieser Beschränkungen ist eine vernünftig gewählte vierstellige PIN oft ausreichend, wie die Wissenschaftler herausfanden. Bei Apple-Produkten wird das Gerät zum Beispiel komplett gesperrt, wenn man die PIN zehnmal falsch eingibt. Und auf einem Android-Smartphone kann man nicht beliebig schnell hintereinander verschiedene Codes eingeben. „In elf Stunden schafft man es, 100 Zahlenkombinationen zu testen“, erläutert Markert.

Und was bringen nun die Sperrlisten? Wie die Forscher erklären, beinhaltet die Sperrliste von Apple für vierstellige PINs 274 Zahlenkombinationen. „Da man auf dem I-Phone aber eh nur zehn Rateversuche beim Eingeben der PIN hat, bringt die Sperrliste keinen Sicherheitsvorteil“, konstatiert Markerts Kollege Maximilian Golla. Wie der Forscher betont, wäre die Sperrliste auf Android-Geräten deutlich sinnvoller, da Angreifer dort mehr PINs durchprobieren können.

Zudem hängt der Nutzen der Sperrliste von ihrer Zusammensetzung ab. So berechneten die Forscher, dass die ideale Sperrliste bei vierstelligen PINs ungefähr 1.000 Einträge umfasst und etwas anders zusammengesetzt sein müsste als die Liste, die Apple derzeit nutzt.

SRE, 22.04.2020
Total votes: 10