Kilka uwag o dobieraniu numerów PIN

Data: 25 lutego 2012 | Autor: | Brak komentarzy »

Natrafiłem ostatnio w sieci na kolejne ciekawe badanie, mające bezpośredni związek z ryzykiem nadużyć. Zespół Cambridge University Computer Laboratory pokusił się o zbadanie sposobu, w jaki ludzie dobierają numery PIN dla kart bankowych w instytucjach, które zezwalają na ustawienie własnego PIN-u.

Przy praktycznie wszystkich hasłach i kodach dostępowych, instytucje finansowe i inny dostawcy usług przestrzegają klientów przed wybieraniem na PIN-y, hasła, tajne pytania itp. informacji i danych, które mogą stosunkowo łatwo zostać odgadnięte na bazie publicznie dostępnych informacje o danej osobie. Identyczna zasada obowiązuje dla kart płatniczych, ponieważ można z dużą dozą prawdopodobieństwa założyć, że w przypadku kiedy złodziej wejdzie w posiadanie całego portfela, będzie próbował najpierw wyszukać PIN zapisany w kalendarzu, notesie, kartce w portfelu, czy wreszcie na samej karcie (tak, to wcale nie takie rzadkie!), a jeśli to mu się nie uda, spróbuje odgadnąć numer PIN na podstawie informacji zawartych w dokumentach ofiary.

Badacze oparli swoje analizy o bazę 32 milionów haseł skradzionych w 2009 roku z serwisu hazardowego RockYou, bazę 200 tysięcy kodów dostępowych do iPhone’ów oraz wyniki ankiety internetowej dotyczącej już stricte PIN-ów do kart (ponad 1,1 tysiąca odpowiedzi). Stosunkowo zabawną częścią doświadczenia był test uliczny, w którym badacze zapisali na kartce najpopularniejsze kombinacje PIN-ów i pytali przypadkowych przechodniów, czy ich własny PIN znajduje się na prezentowanej liście. Okazuje się, że eksperyment ten był zaskakująco skuteczny – średnio 1 na 20 pytanych przyznawała, że jej numer znajduje się na liście!

Odnosząc wyniki analizy PIN-ów do innych zebranych danych, badacze doszli do wniosku, że – na nieszczęście dla złodziei – ludzie znacznie staranniej dobierają kody PIN do kart niż inne kombinacje bądź hasła dostępowe do mniej wrażliwych usług. Jednakże istnieje spora grupa ludzi ułatwiających sobie życie, którzy starają się dobrać PIN w taki sposób, aby samemu go łatwo odgadnąć w razie zapomnienia. Nie trzeba dodawać, że równie łatwo rozszyfrować go złodziejowi…

Badacze podkreślają rolę banków w procesie zabezpieczania kart płatniczych ich klientów przed nieuprawionym użyciem. Jak twierdzą, wiele banków stosuje blokadę ustanawiania najprostszych PIN-ów do kart typu „1111”, czy „1234”, ale pożądane jest, aby systemy potrafiły także odrzucać próby ustanawiania PIN-u będącego kopią danych osobowych – np. części daty urodzenia.

Badanie przytacza przykłady dużych instytucji bankowych, jak Bank of America i Wells Fargo w USA oraz Lloyds i Co-op w Wielkiej Brytanii, które nie posiadają żadnych czarnych list zakazanych PIN-ów, pozwalając swoim klientom wystawiać ich pieniądze na wyższe ryzyko w razie kradzieży karty. Po drugiej stronie muru stoją natomiast Citibank, Barclays, RBS oraz HSBC.

Jak twierdzą badacze, ryzyko odgadnięcia PIN-u przez złodzieja spada z 1 przypadku na 11 (ok. 9%) do 1 na 18 (ok. 6%) w odniesieniu do kart, dla których nie można ustawić zbyt prostych PIN-ów dzięki blokadom stosowanym przez banki. Dodatkowo, jeśli złodziej nie posiada daty urodzenia posiadacza karty, wówczas ryzyko skutecznego odgadnięcia PIN-u spada do zaledwie 0,2%!

Osobną, bardzo ciekawą częścią badania, jest prezentacja strategii stosowanych przez ludzi do wybierania kodów PIN – oto one (ponieważ rezultaty były odnoszone na całą populację, a część osób odmówiła odpowiedzi na te pytania, wyniki nie sumują się do 100%):

  • 64% respondentów wybiera przypadkową kombinację liczb – w tej grupie największy udział mają ci, którzy poprzestają na numerze PIN nadanym przez bank (63%), a drugą najliczniejszą grupą (21%) są osoby wybierające przypadkowe liczby, ale z ciągu już im znanego (np. numeru telefonu).
  • 23% respondentów wybiera określoną, znaną im kombinację liczb – prym wiodą tutaj daty – własnego urodzenia (29%), urodzenia członka rodziny (26%) oraz ważnego wydarzenia (np. rocznicy ślubu – 25%). Ponadto 9% osób z tej grupy ustanawia PIN poprzez wybranie określonego wzoru przesuwania palca po klawiaturze bankomatu, zaś 5% ustanawia kombinację liczbową.

Biorąc pod uwagę ograniczoną liczbę nieudanych prób wpisania PIN-u, wydaje się, że kombinacje spoza danych dostępnych publicznie i możliwych do skradzenia wraz z kartą są stosunkowo bezpieczne. Z  drugiej strony cytowane 0,2% dotyczy statystycznie sporej grupy osób…



Skomentuj wpis

Musisz być zalogowany/a, żeby zamieszczać komentarze.