Philipp Markert de l'Institut Horst Görtz de RUB pour la sécurité informatique (à gauche) et Maximilian Golla de l'Institut Max Planck pour la sécurité et la confidentialité à Bochum ont collaboré à l'étude. Crédit : RUB, Marquard
Une équipe germano-américaine de chercheurs en sécurité informatique a étudié comment les utilisateurs choisissent le code PIN de leurs téléphones portables et comment ils peuvent être convaincus d'utiliser une combinaison de numéros plus sécurisée. Ils ont découvert que les codes PIN à six chiffres offrent en réalité un peu plus de sécurité que ceux à quatre chiffres. Ils ont également montré que la liste noire utilisée par Apple pour empêcher les codes PIN particulièrement fréquents pouvait être optimisée et qu'il serait encore plus logique d'en implémenter une sur les appareils Android.
Philippe Markert, Daniel Bailey, et le professeur Markus Dürmuth de l'Institut Horst Görtz pour la sécurité informatique de la Ruhr-Universität Bochum ont mené l'étude conjointement avec le Dr Maximilian Golla de l'Institut Max Planck pour la sécurité et la confidentialité à Bochum et le professeur Adam Aviv de l'Université George Washington aux États-Unis. Les chercheurs présenteront les résultats au Symposium IEEE sur la sécurité et la confidentialité à San Francisco en mai 2020.
Étude approfondie des utilisateurs
Dans l'étude, les chercheurs ont demandé aux utilisateurs d'appareils Apple et Android de définir des codes PIN à quatre ou six chiffres et ont ensuite analysé à quel point ils étaient faciles à deviner. Dans le processus, ils ont supposé que l'agresseur ne connaissait pas la victime et ne se souciait pas de savoir quel téléphone portable était déverrouillé. Par conséquent, la meilleure stratégie d'attaque serait d'essayer d'abord les codes PIN les plus probables.
Certains des participants à l'étude étaient libres de choisir leur NIP au hasard. D'autres ne pouvaient choisir que des codes PIN qui n'étaient pas inclus dans une liste noire. S'ils essayaient d'utiliser l'un des codes PIN de la liste noire, ils ont reçu un avertissement indiquant que cette combinaison de chiffres était facile à deviner.
Dans l'expérience, les experts en sécurité informatique ont utilisé différentes listes noires, y compris le vrai d'Apple, qu'ils ont obtenu en faisant tester sur un ordinateur toutes les combinaisons de codes PIN possibles sur un iPhone. De plus, ils ont également créé leurs propres listes noires plus ou moins complètes.
Les codes PIN à six chiffres ne sont pas plus sûrs que ceux à quatre chiffres
Il est apparu que les codes PIN à six chiffres n'offrent pas plus de sécurité que ceux à quatre chiffres. « Mathématiquement parlant, Il ya une énorme différence, bien sûr, " dit Philipp Markert. Un code PIN à quatre chiffres peut être utilisé pour créer 10, 000 combinaisons différentes, tandis qu'un code PIN à six chiffres peut être utilisé pour créer un million. "Toutefois, les utilisateurs préfèrent certaines combinaisons; certains codes PIN sont utilisés plus fréquemment, par exemple, 123456 et 654321, " explique Philipp Markert. Cela signifie que les utilisateurs ne tirent pas pleinement parti du potentiel des codes à six chiffres. " Il semble que les utilisateurs actuellement ne comprennent pas intuitivement ce qui rend un code PIN à six chiffres sécurisé, " suppose Markus Dürmuth.
Un code PIN à quatre chiffres judicieusement choisi est suffisamment sécurisé, principalement parce que les fabricants limitent le nombre de tentatives de saisie d'un code PIN. Apple verrouille complètement l'appareil après dix entrées incorrectes. Sur un smartphone Android, différents codes ne peuvent pas être saisis les uns après les autres rapidement. « Dans onze heures, 100 combinaisons de chiffres peuvent être testées, ", souligne Philipp Markert.
Les listes noires peuvent être utiles
Les chercheurs ont trouvé 274 combinaisons de chiffres sur la liste noire d'Apple pour les codes PIN à quatre chiffres. "Comme les utilisateurs n'ont de toute façon que dix tentatives pour deviner le code PIN sur l'iPhone, la liste noire ne la sécurise plus, " conclut Maximilian Golla. Selon les chercheurs, la liste noire aurait plus de sens sur les appareils Android, car les attaquants peuvent essayer plus de codes PIN là-bas.
L'étude a montré que la liste noire idéale pour les codes PIN à quatre chiffres devrait contenir environ 1, 000 entrées et diffèrent légèrement de la liste actuellement utilisée par Apple. Les codes PIN à quatre chiffres les plus courants, selon l'étude, sont 1234, 0000, 2580 (les chiffres apparaissent verticalement les uns en dessous des autres sur le pavé numérique), 1111 et 5555.
Sur iPhone, les utilisateurs ont la possibilité d'ignorer l'avertissement indiquant qu'ils ont entré un code PIN fréquemment utilisé. Le dispositif, donc, n'empêche pas systématiquement les entrées d'être sélectionnées dans la liste noire. Aux fins de leur étude, les experts en sécurité informatique ont également approfondi cet aspect. Certains des participants au test qui avaient entré un code PIN à partir de la liste noire ont été autorisés à choisir d'entrer ou non un nouveau code PIN après l'avertissement. Les autres ont dû définir un nouveau code PIN qui ne figurait pas sur la liste. En moyenne, les NIP des deux groupes étaient également difficiles à deviner.
Plus sûr que les serrures à motif
Un autre résultat de l'étude était que les codes PIN à quatre et six chiffres sont moins sûrs que les mots de passe, mais plus sûr que les serrures à motif.
Les codes PIN les plus populaires
Selon l'étude, les dix codes PIN à quatre chiffres les plus courants sont :1234, 0000, 2580, 1111, 5555, 5683, 0852, 2222, 1212, 1998
Les dix codes PIN à six chiffres les plus courants sont :123456, 654321, 111111, 000000, 123123, 666666, 121212, 112233, 789456, 159753