Warum weniger Smartphone-PIN mehr ist

11.03.2020
Was ist sicherer? Eine PIN mit vier Stellen oder eine PIN mit sechs Stellen? Natürlich diejenige mit mehr Stellen, lautet die richtige Antwort - aber nur theoretisch.
Ein vierstelliger Code kann genügen, um das Smartphone sicher vor fremden Zugriffen zu schützen. Die Zahlen sollten aber vernünftig gewählt werden. Foto: Franziska Gabbert/dpa-tmn
Ein vierstelliger Code kann genügen, um das Smartphone sicher vor fremden Zugriffen zu schützen. Die Zahlen sollten aber vernünftig gewählt werden. Foto: Franziska Gabbert/dpa-tmn

Bochum (dpa/tmn) - Sechsstellige PINs zum Sperren des Smartphones bringen einer wissenschaftlichen Untersuchung zufolge in der Praxis kaum mehr Sicherheit als vierstellige.

Das hat ein Forscherteam der Ruhr-Universität Bochum, des Max-Planck-Instituts für Cybersicherheit und der George Washington University (Washington, D.C.) in einer Nutzerstudie mit 1220 Teilnehmern herausgefunden.

Ein weiteres Ergebnis der Studie: Sowohl vier- als auch sechsstellige PINs sind zwar unsicherer als Passwörter, aber immerhin sicherer als Entsperrmuster.

Potenzial sechsstelliger Codes bleibt ungenutzt

Bei der Anzahl der PIN-Stellen bestehe mathematisch gesehen natürlich ein Riesenunterschied, so die Forscher: Mit einer vierstelligen PIN ließen sich rund 10 000 verschiedene Kombinationen bilden, mit einer sechsstelligen PIN rund eine Million. Allerdings hätten Nutzerinnen und Nutzer Vorlieben für bestimmte Kombinationen. Manche PINs wie 123456 und 654321 würden besonders häufig genutzt.

Die Anwenderinnen und Anwender schöpften das Potenzial sechsstelliger Codes also nicht aus. Offenbar fehle ihnen derzeit noch die Intuition, was eine sechsstellige PIN sicher macht, interpretieren die Wissenschaftler das Studienergebnis.

Apple und Android verhindern ewiges Probieren

Eine vernünftig gewählte vierstellige PIN sei vor allem deshalb ausreichend sicher, weil die Hersteller die Anzahl der Versuche beschränken, wie häufig man eine PIN eingeben darf. Apple sperrt iOS-Geräte nach zehn falschen Eingaben. Und auf Androiden kann man nicht beliebig schnell hintereinander verschiedene Codes eingeben - nicht mehr als 100 Zahlenkombinationen in elf Stunden ließen sich durchprobieren.

Apple unterhält eine PIN-Sperrliste für unsichere vierstellige PINs, in der die Forscher 274 Zahlenkombinationen fanden. Da man auf iPhones aber ohnehin nicht mehr als zehn Versuche beim Eingeben der PIN hat, brächte die Sperrliste keinen Sicherheitsvorteil - zumal man auf iPhones Warnungen, dass man eine häufig verwendete PIN eingegeben hat, ignorieren kann.

Hilfreicher wäre eine Sperrliste laut den Wissenschaftlern auf Android-Geräten. Denn dort können Angreifer ja viel mehr PINs durchprobieren: Die ideale Sperrliste müsste der Studie zufolge bei vierstelligen PINs ungefähr 1000 Einträge umfassen und etwas anders zusammengesetzt sein als die Apple-Liste.

Die PIN 1234 ist am beliebtesten

Die Hitliste der zehn beliebtesten - und damit potenziell unsichersten - vierstelligen PINs: 1234, 0000, 2580, 1111, 5555, 5683, 0852, 2222, 1212 und 1998. Und die zehn beliebtesten sechsstelligen PINs: 123456, 654321, 111111, 000000, 123123, 666666, 121212, 112233, 789456 und 159753 - jeweils sortiert nach absteigender Beliebtheit.

Am beliebtesten seien PINs, die schnell eingetippt oder leicht zu merken sind, etwa, weil die Ziffernfolge eingängig ist, ein Datum mit persönlichem Wiedererkennungswert ergibt oder einem Tastatur-Muster entpricht. Auch Zahlenfolgen, die nach der T9-Tastenbelegung ein bestimmtes Wort ergeben, sind beliebt wie unsicher. Als Beispiel nennen die Wissenschaftler etwa 5683 als Ziffernfolge fürs englische Wort love.

Nutzerstudie


Verfasser: dpa-infocom GmbH

KEYWORDS

TEILEN


Das könnte Sie auch interessieren
Papa ruft auf der Tracker-Uhr an - oder auch nicht: Dass Anruferidentiäten leicht gefälscht werden können, ist besonders fatal, wenn Kinder im Spiel sind. Foto: AV-Test-Institut/dpa-tmn Tracker-Uhren für Kinder fallen im Sicherheitstest durch Sie versprechen Eltern Sicherheit durch lückenlose Aufsicht, können dies aber nicht annähernd einhalten. Im Gegenteil: Viele Kinderuhren mit Ortungs- und Telefonfunktion sind selbst ein Risiko für den Nachwuchs.
Achtung Nepp: Im Fahrwasser der Corona-Krise dümpeln allerlei Cyberkriminelle. Foto: Zacharie Scheurer/dpa-tmn Diese Cybercrime-Fallen lauern in der Corona-Krise Große Ereignisse oder Krisen rufen auch Online-Kriminelle auf den Plan. Zur Corona-Krise haben sie im Netz längst ihre Fallen aufgestellt. Tappen Sie nicht hinein!
Kostenlosen Apps sollten Nutzer nicht unbedingt alle geforderten Berechtigungen gewähren. Foto: Florian Schuh Der richtige Umgang mit App-Berechtigungen Wer eine App auf seinem Smartphone installiert, wird meist schon nach kurzer Zeit gefragt, welche Berechtigungen die App haben darf. Oft braucht sie diese, um richtig zu funktionieren. Doch Handynutzer sollten genau aufpassen, welche Berechtigungen sie einräumen.
Apps wie Sleep Cycle Alarm Clock messen auch die Bewegungen im Schlaf. Foto: Karolin Krämer/dpa-tmn Schlummerhilfe vom Smartphone: Was Sleep-Tracker bringen Das Smartphone neben dem Kopfkissen? Längst kein ungewöhnliches Bild mehr. Auch nachts ist das Telefon unser ständiger Begleiter geworden. Und mit den passenden Apps lässt sich das Smartphone sogar zu einem kleinen Schlaflabor aufrüsten.