Wie sicher vier- und sechsstellige Handy-PINs sind

12.03.2020 - Lara Kristin Zeitel

Handy Dass 0000 nicht die sicherste PIN ist, ist mittlerweile bekannt. Trotzdem erfreut sie sich großer Beliebtheit. Wie Nutzer auf dem Handy ihre PINs wählen und wie sicher diese sind, haben unsere IT-Experten untersucht. Rapper Kanye West passierte 2018 ein Malheur, als er vor laufenden Fernsehkameras sein Handy entsperrte und sich seine PIN als 000000 herausstellte. Dass diese Kombination nicht die sicherste ist, ist bekannt. Trotzdem erfreuen sich leicht zu merkende Ziffernfolgen nach wie vor großer Beliebtheit, wie eine Studie von Bochumer IT-Sicherheitsforschern mit US-amerikanischen Kollegen ergab.

Das Team vom Horst-Görtz-Institut der RUB um Philipp Markert, Daniel Bailey und Prof. Dr. Markus Dürmuth analysierte gemeinsam mit Dr. Maximilian Golla vom Bochumer Max-Planck-Institut für Cybersicherheit und Schutz der Privatsphäre sowie Prof. Dr. Adam Aviv von der US-amerikanischen George Washington University, wie Nutzerinnen und Nutzer ihre PINs aussuchen und wie man sie dazu bringen kann, sie sicherer zu machen. Die Ergebnisse stellen sie im Mai 2020 auf dem IEEE Symposium on Security and Privacy in San Francisco vor.

Umfangreiche Nutzerstudie

In der Studie ließen die Wissenschaftler Nutzerinnen und Nutzer auf Apple- und Android-Geräten entweder vier- oder sechsstellige PINs vergeben und analysierten später, wie leicht diese zu erraten waren. Dabei gingen sie von einem Angreifer oder einer Angreiferin aus, die ihr Opfer nicht kennen und denen es egal ist, wessen Handy sie entsperren. Ihre beste Angriffsstrategie wäre es folglich, die wahrscheinlichsten PINs zuerst zu probieren.

Ein Teil der Probanden konnte die PIN in der Studie frei wählen. Andere konnten nur PINs wählen, die nicht auf einer Sperrliste standen. Versuchten sie eine der gesperrten PINs zu nutzen, erhielten sie eine Warnung, dass diese Ziffernkombination leicht zu erraten sei.

Für den Versuch nutzten die IT-Sicherheitsexperten verschiedene Sperrlisten, unter anderem die echte von Apple, die sie erhielten, indem sie einen Computer alle möglichen PIN-Kombinationen an einem I-Phone durchtesten ließen. Außerdem fertigten sie eigene unterschiedlich umfangreiche Sperrlisten an.

Sechsstellige PINs nicht sicherer als vierstellige

Die Auswertung ergab, dass sechsstellige PINs in der Praxis nicht mehr Sicherheit bringen als vierstellige. „Mathematisch gesehen besteht natürlich ein Riesenunterschied“, sagt Philipp Markert. Mit einer vierstelligen PIN lassen sich 10.000 verschiedene Kombinationen bilden, mit einer sechsstelligen eine Million. „Aber die Nutzer haben Vorlieben für bestimmte Kombinationen, manche PINs werden besonders häufig genutzt, beispielsweise 123456 und 654321“, erklärt Philipp Markert. Mehr dazu unter https://news.rub.de/presseinformationen/wissenschaft/2020-03-11-it-sicherheit-wie-sicher-vier-und-sechsstellige-handy-pins-sind. (Foto: RUB/Marquard)

The la­test work on the se­cu­ri­ty of 4- and 6-di­git PINs and the ef­fect of black­lists is now avail­able on­line at https://this-pin-can-be-easily-guessed.github.io/.