Хакер #305. Многошаговые SQL-инъекции
Всем известно, что самым распространённым пин-кодом является 1234, далее следуют слитные числовые повторы 1111, 2222 и простые комбинации, которые легко набирать на цифровой клавиатуре, типа 2582 или 1346. Третьим популярным способом выбора пин-кода является памятная дата, а именно — день рождения.
Специалисты с компьютерной кафедры Кембриджского университета опубликовали первое в мире исследование (PDF) математической вероятности подбора четырёхсимвольного числового пин-кода, который устанавливается самим пользователем. Несмотря на повсеместную распространённость таких пин-кодов, до сих пор не было ни одного серьёзного научного исследования их безопасности.
В качестве информационной базы исследователи взяли 200 000 пин-кодов iPhone, а также все комбинации из четырёх цифр, которые встречаются среди 1,7 млн паролей RockYou, полученных после взлома сервиса. Применив математический аппарат, была построена модель для оценки вероятности связи каждого пин-кода с одним из 25 шаблонов, включая дату в формате DDMM, год рождения и т.д.
Специалисты отмечают, что к выбору банковских пин-кодов люди относятся более ответственно и в 63,7% случаев используют псевдослучайные числа, не связанные с датой рождения. Однако, 23% пользователей выбирают дату, и каждый третий из них — дату своего рождения. Таким образом, даже для банковских пин-кодов, как показывает модель, около 8% пин-кодов можно угадать с первого раза, если знать дату рождения владельца.
По информации авторов исследования, сейчас некоторые банки используют «чёрный список» из сотни запрещённых пин-кодов, таких как 1111 и 1234, в целом это значительно повышает случайность выборки, но если учитывать дату рождения пользователя, то эффективность «чёрного списка» практически сводится на нет. Таким образом, банкам рекомендуется занести в «чёрный список» также и все даты рождения.
На диаграмме показана частотность встречаемости пин-кодов с 1900 по 2025. Пики на графике вызваны популярными комбинациями, которые удобно расположены на клавиатуре (1937, 1973) и парными комбинациями (1919, 2020).