Een zescijferige pincode om een smartphone mee te beveiligen is niet altijd veiliger dan een viercijferige pincode bij een aanvaller die niet op grote schaal pincodes kan proberen. En zescijferige pincodes kunnen de veiligheid zelfs verminderen, zo stellen onderzoekers van Ruhr University Bochum, het Max Planck Institute en de George Washington University.

Voor het onderzoek lieten de onderzoekers 1220 deelnemers over een periode van drie weken via de browser vier- en zescijferige pincodes invoeren. Deelnemers mochten alleen deelnemen vanaf een mobiel apparaat. Op deze manier ontvingen de onderzoekers 851 vier- en 369 zescijferige pincodes. Uit het onderzoek blijkt dat een zescijferige pincode weinig voordelen in vergelijking met een viercijferige pin heeft. Deelnemers bleken namelijk eenvoudiger te raden zescijferige pincodes te kiezen als er rekening wordt gehouden met de eerste veertig pogingen van een aanvaller om het wachtwoord te raden.

Bij tien raadpogingen op iOS, het maximum toegestane aantal, werd 4,6 procent van de viercijferige pincodes en 6,5 procent van de zescijferige pincodes van de deelnemers aan het onderzoek geraden. Bij dertig pogingen op Android ging het om respectievelijk 7,6 procent en 8,9 procent. Wanneer een aanvaller honderd pogingen op Android heeft werd 16,2 procent van de viercijferige pincodes en 13,3 procent van de zescijferige pincodes achterhaald.

De onderzoekers merken op dat het juist de verwachting was dat zescijferige pincodes lastiger te raden zouden zijn. Een reden dat dit bij de eerste veertig pogingen niet het geval is komt doordat de meestgebruikte zescijferige pincodes minder verschillen ten opzichte van de meestgebruikte viercijferige pincodes. De meestgebruikte zescijferige pincodes bestaan uit eenvoudige pincodes zoals 123456. Bij de viercijferige pincodes gaat het om eenvoudige pincodes, patronen, datums en herhalende cijfers. Dit zorgt ervoor dat een zescijferige pincode eenvoudiger te raden kan zijn, omdat ze minder divers zijn dan viercijferige pincodes.

Een verklaring kan zijn dat gebruikers een vals gevoel van veiligheid bij zescijferige pincodes hebben en denken dat ze geen complexe pincode hoeven te kiezen omdat de pincode al "twee cijfers" veiliger is dan een viercijferige pincode. Een exacte reden voor dit gedrag van mensen zou echter verder moeten worden onderzocht, zo laten de onderzoekers weten.

Blacklists

Daarnaast keken de onderzoekers naar de effectiviteit van pin-blacklists, die bepaalde pincodes verbieden. Apple maakt voor iOS gebruik van dergelijke blacklists. Zo zijn 274 viercijferige en 2910 zescijferige pincodes verboden. De kleine blacklists bieden volgens de onderzoekers weinig tot geen bescherming tegen een "throttled" aanval, waarbij de aanvaller een klein aantal pincodes kan proberen. Bijvoorbeeld omdat er na elke foutpoging een tijdspauze wordt ingelast. Dit verschilt van een situatie waarbij een aanvaller via een bruteforce-aanval eindeloos pincodes kan proberen.

Voor een aanvaller blijkt dat de huidige blacklists die Apple toepast niet veel uitmaken bij het raden van pincodes, terwijl de blacklists dit juist moeten voorkomen. "In een dergelijk model is het van groot belang dat het raden van de pincode in de eerste paar pogingen wordt voorkomen", aldus de onderzoekers. Die merken op dat blacklists veel groter moeten zijn om betere bescherming te bieden, maar dat dit voor frustratie bij gebruikers kan zorgen.

Afsluitend concluderen de onderzoekers dat het weinig zin heeft om zomaar de lengte van een pincode te vergroten en applicatie-ontwikkelaars hier rekening mee moeten houden. Een blacklist kan effectief zijn bij viercijferige pincodes, maar zou dan wel tien procent van alle mogelijke combinaties moeten bevatten. De effectiviteit bij zescijferige pincodes moet nog worden onderzocht.