Jump to navigation

Logo RUB
  • Energiesparen
  • Studium
  • Forschung
  • Transfer
  • News
  • Über uns
  • Einrichtungen
 
MENÜ
  • RUB-STARTSEITE
  • News
  • Wissenschaft
  • Studium
  • Transfer
  • Leute
  • Hochschulpolitik
  • Kultur und Freizeit
  • Vermischtes
  • Servicemeldungen
  • Serien
  • Dossiers
  • Bildergalerien
  • Presseinformationen
    • Abonnieren
  • RUB in den Medien
  • Rubens
  • Rubin
    • Abonnieren
    • Printarchiv
  • Archiv
  • English
  • Redaktion

Newsportal - Ruhr-Universität Bochum

Handy mit Displaysperre
0000 und 1234 sind unter den beliebtesten Zahlenkombinationen für PINs.
© RUB, Marquard
IT-Sicherheit

Wie sicher vier- und sechsstellige Handy-PINs sind

Dass 0000 nicht die sicherste PIN ist, ist mittlerweile bekannt. Trotzdem erfreut sie sich großer Beliebtheit. Wie Nutzer auf dem Handy ihre PINs wählen und wie sicher diese sind, haben IT-Experten untersucht.

Rapper Kanye West passierte 2018 ein Malheur, als er vor laufenden Fernsehkameras sein Handy entsperrte und sich seine PIN als 000000 herausstellte. Dass diese Kombination nicht die sicherste ist, ist bekannt. Trotzdem erfreuen sich leicht zu merkende Ziffernfolgen nach wie vor großer Beliebtheit, wie eine Studie von Bochumer IT-Sicherheitsforschern mit US-amerikanischen Kollegen ergab.

Das Team vom Horst-Görtz-Institut der RUB um Philipp Markert, Daniel Bailey und Prof. Dr. Markus Dürmuth analysierte gemeinsam mit Dr. Maximilian Golla vom Bochumer Max-Planck-Institut für Cybersicherheit und Schutz der Privatsphäre sowie Prof. Dr. Adam Aviv von der US-amerikanischen George Washington University, wie Nutzerinnen und Nutzer ihre PINs aussuchen und wie man sie dazu bringen kann, sie sicherer zu machen. Die Ergebnisse stellen sie im Mai 2020 auf dem IEEE Symposium on Security and Privacy in San Francisco vor.

Die zehn beliebtesten PINs

Nutzerinnen und Nutzer überlegen sich PINs, die sie schnell eintippen können oder die sie sich gut merken können – zum Beispiel weil der Klang der Ziffernfolge eingängig ist, sie einem besonderen Datum entspricht oder ein bestimmtes Muster auf der Tastatur ergibt. Die zehn beliebtesten vierstelligen PINs sind nach der aktuellen Studie:

  • 1234
  • 0000
  • 2580
  • 1111
  • 5555
  • 5683
  • 0852
  • 2222
  • 1212
  • 1998

Die beliebtesten sechsstelligen PINs:

  • 123456
  • 654321
  • 111111
  • 000000
  • 123123
  • 666666
  • 121212
  • 112233
  • 789456
  • 159753

Umfangreiche Nutzerstudie

In der Studie ließen die Wissenschaftler Nutzerinnen und Nutzer auf Apple- und Android-Geräten entweder vier- oder sechsstellige PINs vergeben und analysierten später, wie leicht diese zu erraten waren. Dabei gingen sie von einem Angreifer oder einer Angreiferin aus, die ihr Opfer nicht kennen und denen es egal ist, wessen Handy sie entsperren. Ihre beste Angriffsstrategie wäre es folglich, die wahrscheinlichsten PINs zuerst zu probieren.

Ein Teil der Probanden konnte die PIN in der Studie frei wählen. Andere konnten nur PINs wählen, die nicht auf einer Sperrliste standen. Versuchten sie eine der gesperrten PINs zu nutzen, erhielten sie eine Warnung, dass diese Ziffernkombination leicht zu erraten sei.

Philipp Markert vom Horst-Görtz-Institut für IT-Sicherheit der RUB (links) und Maximilian Golla vom Bochumer Max-Planck-Institut für Cybersicherheit und Schutz der Privatsphäre kooperierten für die Studie.
© RUB, Marquard

Für den Versuch nutzten die IT-Sicherheitsexperten verschiedene Sperrlisten, unter anderem die echte von Apple, die sie erhielten, indem sie einen Computer alle möglichen PIN-Kombinationen an einem I-Phone durchtesten ließen. Außerdem fertigten sie eigene unterschiedlich umfangreiche Sperrlisten an.

Sechsstellige PINs nicht sicherer als vierstellige

Die Auswertung ergab, dass sechsstellige PINs in der Praxis nicht mehr Sicherheit bringen als vierstellige. „Mathematisch gesehen besteht natürlich ein Riesenunterschied“, sagt Philipp Markert. Mit einer vierstelligen PIN lassen sich 10.000 verschiedene Kombinationen bilden, mit einer sechsstelligen eine Million. „Aber die Nutzer haben Vorlieben für bestimmte Kombinationen, manche PINs werden besonders häufig genutzt, beispielsweise 123456 und 654321“, erklärt Philipp Markert.

Scheinbar fehlt den Nutzern derzeit noch die Intuition, was eine sechsstellige PIN sicher macht.

– Markus Dürmuth

Die Anwenderinnen und Anwender schöpfen das Potenzial der sechsstelligen Codes also nicht aus. „Scheinbar fehlt den Nutzern derzeit noch die Intuition, was eine sechsstellige PIN sicher macht“, vermutet Markus Dürmuth.

Eine vernünftig gewählte vierstellige PIN ist vor allem deswegen ausreichend sicher, weil die Hersteller die Anzahl der Versuche beschränken, wie häufig man eine PIN eingeben darf. Apple sperrt das Gerät nach zehn falschen Eingaben komplett. Auf einem Android-Smartphone kann man nicht beliebig schnell hintereinander verschiedene Codes eingeben. „In elf Stunden schafft man es, 100 Zahlenkombinationen zu testen“, erläutert Philipp Markert.

Sperrlisten können nützlich sein

Auf der Sperrliste von Apple für vierstellige PINs fanden die Forscher 274 Zahlenkombinationen. „Da man auf dem I-Phone aber eh nur zehn Rateversuche beim Eingeben der PIN hat, bringt die Sperrliste keinen Sicherheitsvorteil“, resümiert Maximilian Golla. Hilfreicher wäre die Sperrliste laut den Wissenschaftlern auf Android-Geräten, da Angreifer dort mehr PINs durchprobieren könnten. Die ideale Sperrliste müsste laut der Studie bei vierstelligen PINs ungefähr 1.000 Einträge umfassen und etwas anders zusammengesetzt sein, als die Liste, die Apple derzeit nutzt.

Angeklickt
  • Ausführliche Presseinformation
Veröffentlicht
Mittwoch
11. März 2020
08.56 Uhr
Von
Julia Weiler (jwe)
Share
Teilen

IT-Sicherheit

Die digitale Vernetzung durchdringt inzwischen fast alle Bereiche des Lebens. Schutzmechanismen zu entwickeln ist eine vordringliche Aufgabe.

Mehr aus dem Dossier
Das könnte Sie auch interessieren
Kita-App auf Smartphone
IT-Sicherheit

Wie Kita-Apps Eltern und Kinder ausspionieren können

Eine Hand hält einen goldenen Chip
IT-Sicherheit

Manipulationen in Mikrochips aufspüren

Mann lehnt an Wand
Datensicherheit

Die verräterische Null

Derzeit beliebt
Klebefäden zwischen zwei Oberflächen
Teilchenphysik

Der Kleber, der Materie zusammenhält

Landkarte auf einem Tablet
ERC Advanced Grant

Mit Tricks zur besseren inneren Landkarte

Porträt
ERC ADVANCED GRANT

Umdenken für neue und sichere Verschlüsselungen

 
Mehr Wissenschaft
Ressort
 
Zur Startseite
News
  • A-Z
  • N
  • K
Logo RUB
Impressum | Kontakt
Ruhr-Universität Bochum
Universitätsstraße 150
44801 Bochum

Datenschutz
Barrierefreiheit
Impressum
Schnellzugriff
Service und Themen
Anreise und Lagepläne
Hilfe im Notfall
Stellenangebote
Social Media
Facebook
Twitter
YouTube
Instagram
Seitenanfang y Kontrast N
Impressum | Kontakt