Четыре цифры пин-кода — самый популярный способ блокировки экрана, удобно и легко запоминать, быстро вводить. Возникает большой соблазн еще больше упростить себе задачу, вбив что-то вроде «1111».

Компании по-разному борются с проблемой, два самых популярных подхода — увеличить длину (например, до 6 цифр) или запретить некоторые комбинации. Что может пойти не так в том или другом случае?

Как выяснили исследователи — все. Выяснить это им помог Механический Турок от Amazon, а точнее, 1220 добровольцев оттуда, которые согласились придумывать пин-коды для телефонов. И робот из Lego и Rapsberry Pi для взлома простым перебором всех значений (брут-форса) черных списков, так как они не публичные — он эмулировал usb-клавиатуру и снимал экран блокировки айфона.

Оказалось, что:

1. Шестизначные пины как правило не сложнее, а то и легче угадывать чем четырехзначные (а это важно, т.к. количество попыток на смартфоне обычно ограничено).

— Чем длиннее последовательность нужно придумать, тем больше пользователь пытается упростить себе задачу. В результате чаще обращается к популярным комбинациям вроде «123456» или использует памятные даты, разнообразие уменьшается.

— Если пин-код удлинять дальше, в какой-то момент его начинают записывать на бумажке, и все попытки увеличить безопасность катятся в тартарары.

— Как итог, четырехзначный пин-код просто лучше.

2. Сообщения «этот пин-код слишком простой» чаще всего просто раздражают и игнорируются при любой возможности, потому что люди рабы своих привычек, и если они хотят использовать свой день рождения как ключ доступа — они будут этого добиваться. 

— Существующие черные списки кодов, например, в айфонах не оптимальны. Если исключить слишком мало комбинаций, не будет толку, чем их больше, тем сложнее пользователю придумать пин-код, он больше злится и игнорирует рекомендации. У злоумышленника тем временем уменьшается количество вариантов перебора, ему начинает дышаться легче.

— Найти компромис можно, так, для четырехзначных пинов в статье предлагают запретить 10% наиболее популярных комбинаций из всех возможных.

Идеального решения нет, но известно, что точно не нужно использовать для блокировки устройства, если есть обоснованный страх за их кражу. Хуже даже пин-кодов оказался графический ключ на сетке 3х3, где количество популярных паттернов еще больше, и угадываются они легче. 

    Полезные материалы в одной еженедельной рассылке
    Подписывайтесь, не пожалеете.