Die Smartphone-PIN sinnvoll auswählen

Ein Forscherteam hat die Sicherheit von vier- und sechsstelligen PINs beim Smartphone getestet. Die längere Variante bietet dabei nicht unbedingt mehr Schutz.

Foto: panthermedia.net/ scanrail

Das Team der Wissenschaftler setzt sich aus Philipp Markert, Daniel Bailey und Markus Dürmuth vom Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum (RUB), Maximilian Golla vom Bochumer Max-Planck-Institut für Cybersicherheit und Schutz der Privatsphäre sowie Adam Aviv, Professor an der US-amerikanischen George Washington University zusammen. Im Rahmen einer Studie baten Nutzer von Android- sowie Apple-Smartphones, eine vier- oder sechsstellige PIN zu vergeben. Im Anschluss folgte eine Analyse der PINs. Dabei stand die Frage im Mittelpunkt: Wie leicht sind die Zahlenkombinationen zu erraten? Die Wissenschaftler gingen grundsätzlich davon aus, dass es einen Angreifer gibt, der das Opfer nicht kennt und für den es folglich irrelevant ist, wessen Handy er entsperrt. Demnach sei die beste Strategie für einen Angriff, die wahrscheinlichsten PINs zu versuchen.

Die Forscher teilten die Probanden in zwei Gruppen auf: die eine konnte die PIN frei wählen, die andere musste Kombinationen wählen, die nicht auf einer Sperrliste standen. Solche Listen existieren tatsächlich seitens der Hersteller. Deshalb kam unter anderem eine von Apple in der Studie zur Anwendung, zudem fertigten die Forscher eigene unterschiedlich umfangreiche Listen an. Die Teilnehmer wählten sowohl vier- als auch sechsstellige Kombinationen. Das Ergebnis zeigt, dass in der Praxis sechsstellige PINs keine größere Sicherheit bieten. Mit einer vierstelligen PIN lassen sich 10.000 verschiedene Kombinationen bilden, mit einer sechsstelligen dagegen eine Million. „Mathematisch gesehen besteht natürlich ein Riesenunterschied“, sagt Philipp Markert. „Aber die Nutzer haben Vorlieben für bestimmte Kombinationen, manche PINs werden besonders häufig genutzt, beispielsweise 123456 oder 654321.“

Top Stellenangebote

Zur Jobbörse

Slider zurück scrollen Slider weiter scrollen

Entwicklungsingenieur (m/w/i) optische und radiometrische Messsysteme IMS Messsysteme GmbH

Heiligenhaus Zum Job 

Projektleiter (m/w/i) Vertrieb IMS Messsysteme GmbH

Heiligenhaus Zum Job 

Ingenieur als Vorentwickler Leitungssatz (m/w/d) Schwerpunkt Kontaktsysteme und Werkstoffe Kromberg & Schubert Automotive GmbH & Co. KG

Renningen Zum Job 

Ingenieur*in Leistungselektronik und Netzintegration Fraunhofer-Institut für Windenergiesysteme IWES

Bremerhaven Zum Job 

Ingenieur als Leitung für das Sachgebiet Tiefbau (w/m/d) Stadt Eschborn

Eschborn Zum Job 

Projektingenieur für Werkzeugmaschinen (m/w/divers) Lufthansa Technik AG

Hamburg Zum Job 

Ingenieur*in Systemführung Strom SachsenNetze HS.HD GmbH

Dresden Zum Job 

Projektingenieur f. elektrische Betriebsmittel und Anlagen (m/w/divers) Lufthansa Technik AG

Hamburg Zum Job 

Informatikerin/Informatiker (m/w/d), Diplom-Ingenieurin/Diplom-Ingenieur (m/w/d) oder Meteorologin/Meteorologe (m/w/d) (FH-Diplom/Bachelor) für die Einführung und Weiterentwicklung der Fernerkundungssysteme, Schwerpunkt Softwarebereich Deutscher Wetterdienst (DWD)

Hamburg-Sasel Zum Job 

Ingenieurin/Ingenieur im Sachgebiet Betrieb von Verkehrsanlagen (m/w/d) Friedrichshafen

Friedrichshafen Zum Job 

Projektingenieurinnen oder Projektingenieure Hochbau (w/m/d) Die Autobahn GmbH des Bundes

Hannover Zum Job 

Projektingenieur / Projekttechniker (m/w/d) Qair Deutschland GmbH

München Zum Job 

Maschinenbauingenieur/ -techniker (m/w/d) im Geschäftsbereich Fördersysteme NSM MAGNETTECHNIK GmbH

Olfen Zum Job 

Elektrokonstrukteur (m/w/d) Automatisierungstechnik im Bereich Sondermaschinenbau EFS Gesellschaft für Hebe- und Handhabungstechnik mbH

Nordheim Zum Job 

Sachbearbeiterin oder Sachbearbeiter für Elektrotechnik (m/w/d) Landtag Mecklenburg-Vorpommern

Schwerin Zum Job 

Referent (w/m/d) Energieeffizienz und elektrotechnische Gebäudeinfrastruktur BDEW Bundesverband der Energie- und Wasserwirtschaft e. V.

Berlin Zum Job 

Sales Manager (m/w/d) im technischen Vertriebsaußendienst Alimak Group Deutschland GmbH

Mammendorf Zum Job 

Bauingenieure / Bautechniker (m/w/d) Stadt Sindelfingen

Böblingen-Sindelfingen Zum Job 

Teamleiter (m/w/d) Car2X & Connected Services VAIVA GmbH

Wolfsburg Zum Job 

Projektingenieur (m/w/d) für Getriebemontage und Volumenplanung AGCO GmbH

Marktoberdorf Zum Job 

Nach Angaben der Forscher schöpfen die Anwender das Potenzial dieser sechsstelligen Codes nicht aus. Deshalb sei eine vernünftig gewählte vierstellige PIN ausreichend sicher, weil die Hersteller die Anzahl der Versuche einschränken. Apple sperrt beispielsweise nach zehn falschen Eingaben das Gerät komplett. Android-Smartphones nutzen den zeitlichen Faktor, um die Eingabe zu beschränken.

Wissenschaftler ermitteln die beliebtesten PINs

Apple gibt auf seiner Sperrliste 274 Zahlenkombinationen an. „Da man auf dem iPhone aber eh nur zehn Rateversuche beim Eingeben der PIN hat, bringt die Sperrliste keinen Sicherheitsvorteil“, sagt Maximilian Golla. Laut der Wissenschaftler wäre eine Sperrliste für Android-Geräte sinnvoller, da Angreifer dort mehr PINs ausprobieren können. Ein weiteres Ergebnis der Studie: Die häufigsten PINs sind 1234, 0000, 2580, 1111, 5555. Eine ideale Sperrliste müsse bei vierstelligen PINs rund 1.000 Einträge beinhalten und anders zusammengesetzt sein als die aktuelle Liste von Apple. Zudem könne man bei einem iPhone die Warnung ignorieren, dass man eine häufig verwendete PIN eingibt. Somit verhindert das Gerät nicht konsequent, dass Einträge von der Sperrliste verwendet werden. Das untersuchten die Forscher ebenfalls, indem ein Teil der Probanden nach der Warnung wählen konnte, ob sie eine neue PIN eingeben wollten oder nicht. Die anderen mussten eine neue PIN auswählen, die nicht auf der Liste stand. Tests ergaben, dass im Durchschnitt die PINs beider Gruppen gleichermaßen schwer zu erraten waren.

Im Rahmen der Studie fanden die Wissenschaftler außerdem heraus, dass vier- und sechsstellige PINs zwar unsicherer sind als Passwörter, dafür aber sicherer als Entsperrmuster. Bei der Auswahl der Zahlenkombinationen legen Nutzerinnen und Nutzer besonders viel Wert darauf, sich die Zahlen gut merken zu können. Als Vorliebe gilt zum Beispiel der Klang der Ziffernfolge, die als eingängig wahrgenommen wird, auch ein Datum mit besonderer Bedeutung wird gern verwendet oder Ziffern, die ein bestimmtes Muster auf der Tatstatur ergeben. Zahlencodes, die nach T9-Texterkennung ein bestimmtes Wort ergeben, kommen häufig vor – beispielsweise 5683 für „love“. Die Forscher erstellten im Rahmen ihrer Studie eine Liste mit den zehn beliebtesten vierstelligen PINs: 1234, 0000, 2580, 1111, 5555, 5683, 0852, 2222, 1212, 1998 – sortiert nach absteigender Beliebtheit. Als die beliebtesten sechsstelligen PINs ermittelten sie: 123456, 654321, 111111, 000000, 123123, 666666, 121212, 112233, 789456, 159753. Im Mai 2020 präsentieren die Forscher ihre gesamten Ergebnisse auf dem „IEEE Symposium on Security and Privacy“ in San Francisco.

Mehr zum Thema Sicherheit:

• Sicherheitslücken können Kriminelle nutzen
• IT-Sicherheit von GA-Systemen erfordert neue Planungsansätze
• Wagen gehackt, Stadt blockiert