23% dintre respondenți aleg PIN-codul în forma de data - și aproape o treime dintre ei folosesc data nașterii. Mai mult decât atât, aproape toți bărbații (99%) sunt stocate în portofel cu carduri bancare din diferite cărți de identitate, pe care este imprimată data. În cazul în care un atacator cunoaște ziua de naștere a titularului de card, probabilitatea de a ghici PIN-cod se înalță tot la 9%.
În ciuda rolului important al PIN-coduri în infrastructura globală nu a fost încă efectuat cercetări academice cu privire la modul, de fapt, oamenii opta pentru PIN-coduri.
Utilizarea datelor despre scurgeri parolele din surse non-bancare și chestionare on-line, cercetatorii au descoperit ca alegerea utilizatorilor de PIN-coduri sunt mult mai grave decât la alegerea parolelor pentru site-uri: cele mai multe coduri conțin set practic aleator de numere. Cu toate acestea, printre datele originale sunt prezente simple și combinații, și zile de naștere - adică, cu ceva noroc, atacatorul poate ghici pur și simplu codul prețios.
Punctul de plecare al studiului a fost un set de secvențe 4-tsifernyh în parole de bază RockYou (1,7 milioane), și o bază de 200 de mii de programul de blocare a ecranului iPhone-coduri PIN (de bază cu condiția dezvoltator de aplicații Daniel Amitay). Graficele reprezentate grafic din aceste date apar interesante modele - data, anul, numerele repetitive, și chiar PIN-coduri care se termină în 69.
Pe baza acestor observații, oamenii de stiinta au construit un model de regresie liniară, care evaluează popularitatea fiecărui PIN-cod, în funcție de 25 de factori - cum ar fi dacă codul în format data DDMM, indiferent dacă acesta este o secvență de creștere, și așa mai departe. Aceste condiții generale corespund 79% și 93% PIN-coduri în fiecare set.
Deci, utilizatorii alege un coduri de 4-tsifernye pe baza de doar câțiva factori simpli. Dacă este așa selectat, și bancare PIN-coduri, 8-9% dintre ei ar putea ghici doar trei încercări! Dar, desigur, codurile bancare oamenii sunt mult mai îndeaproape.
Având în vedere lipsa oricărui set mare de date bancare reale, cercetatorii au realizat studii mai mult de 1300 de oameni pentru a evalua modul real PIN-codurile sunt diferite de cele deja discutate. Având în vedere specificul studiului, respondenții au fost întrebați nu despre codurile reale, dar numai cu privire la conformitatea acestora cu oricare dintre factorii de mai sus (creștere, format GGMM, etc).
Conform rezultatelor, 64% dintre posesorii de carduri folosesc pseudorandom PIN-codului - este mult mai mult de 23-27% în experimentele anterioare cu coduri non-bancare. Mai mult de 5% folosesc un model digital (de exemplu, 4545), și 9% preferă model pe o tastatură (de exemplu, 2684). În general, un atacator încearcă cu șase (trei și trei și terminale de plată ATM) este mai mică de 2% șansă de a ghici codul PIN al cardului adversarilor.
Totul este bun, dar, din păcate, o parte semnificativă a respondenților (23%) selectează un cod PIN sub forma de data - și aproape o treime dintre ei folosesc data nașterii. Aceasta face diferența, pentru că aproape toate (99%) dintre respondenți au afirmat că sunt stocate în portofel cu carduri bancare din diferite cărți de identitate, pe care este imprimată data. În cazul în care un atacator știe ziua nașterii titularului de card, atunci probabilitatea de abordare corectă a ghicitul PIN-cod se înalță tot la 9%.
Topul 100 al PIN-coduri:
P.S. În practică, desigur, un atacator mult mai ușor să spioneze PIN-cod, decât să-l ghicească. Dar, de asemenea, de la spionaj pot fi prevenite - chiar și în situații aparent fără speranță: