近日,波鸿鲁尔大学、马克斯普朗克研究所和华盛顿大学的安全专家对iPhone手机的PIN安全性以及其如何受到黑名单机制影响进行了研究,结果让人吃惊:研究结果表明,较长的六位数PIN相比四位PIN安全性并没有得到多少增强,有时甚至会降低强度。
研究者制作了一个载有摄像头的树莓派乐高机器人装置(上图),可以模拟连接到iPhone的USB键盘,从而通过暴力方式快速测试出iPhone自带的PIN黑名单(如果你在设置新手机时选择了黑名单中的PIN码,iPhone会弹出警告窗口:此PIN容易被猜中)。
在研究论文中,研究者提供了对智能手机上收集的用户4位和6位PIN码(n=1220)进行的首次全面研究,其中四位PIN码样本来自2011年的Amitay-4应用(204432个),而六位PIN码则来自RockYou的密码泄露(2758490个)。结果发现,使用6位PIN而不是4位PIN只能提供很少的安全性,甚至可能降低安全性。
研究者还研究了苹果黑名单的影响,iOS设备使用了两个黑名单,其中4位PIN黑名单包含274个PIN,6位PIN黑名单包含2910个PIN。研究者通过上述暴力装置提取了两个黑名单,并将它们与其他四个黑名单进行了比较,包括一个小的4位PIN黑名单(27个PIN),一个大的4位PIN黑名单(2740 PIN)以及两个分别用于排除4位和6位PIN的安慰剂黑名单。
结果发现,iOS目前使用的相对较小的黑名单对于受限猜测攻击几乎没有好处。仅在黑名单大的多时才能观察到安全性提高,而这又以增加用户的沮丧感为代价。研究分析表明,大约占PIN空间10%的黑名单可能会在可用性和安全性之间达到最佳平衡。
手机PIN码安全性研究论文地址:
https://arxiv.org/pdf/2003.04868
相关阅读