グローバルインフラストラクチャにおけるPINコードの重要な役割にもかかわらず、実際に人々がPINコードを選択する方法についての学術研究はまだ行われていません。
ケンブリッジ大学の研究者SörenPreibuschとRoss Andersonは、4桁の銀行PINを推測する難しさの世界初の定量分析を
公開することで状況を修正しました。
科学者たちは、銀行以外のソースからのパスワードリークに関するデータとオンライン質問を使用して、ユーザーはWebサイトのパスワードを選択するよりもPINコードを選択することに真剣であることを発見しました。 それにもかかわらず、ソースデータには単純な組み合わせと誕生日の両方があります。つまり、運が良ければ、攻撃者は切望されているコードを簡単に推測できます。
研究の出発点は、RockYouデータベース(170万)からの4桁のパスワードのセット、およびiPhone画面ロックプログラムからの20万のPINコードのデータベースでした(データベースはアプリケーション開発者Daniel Amitayによって提供されました)。 このデータに基づいて作成されたチャートでは、興味深いパターンが出現します-日付、年、繰り返し番号、および69で終わるPINコードです。これらの観察に基づいて、科学者は25に応じて各PINコードの人気を推定する線形回帰モデルを作成しましたコードがDDMM日付であるかどうか、増加シーケンスであるかどうかなどの要素。 各セットのPINコードの79%と93%は、これらの一般的な条件に対応しています。
したがって、ユーザーはいくつかの単純な要因に基づいて4桁のコードを選択します。 この方法で銀行PINを選択した場合、わずか3回の試行で8〜9%を推測できます。 しかし、もちろん、人々は銀行コードにもっと注意を払っています。 実際の銀行データの大きなセットが不足しているため、研究者は1300人以上にインタビューし、PINコードがすでに検討されているものとどのように異なるかを評価しました。 調査の詳細を考慮して、回答者はコード自体についてではなく、上記の要因(増加、DDMM形式など)のいずれかに対するコンプライアンスのみについて質問されました。
銀行のPINコードを本当に慎重に選択していることが判明しました。 回答者の約4分の1は、銀行が生成したランダムなPINを使用しています。 古い電話番号、学生カード番号、またはランダムに見える他の番号のセットを使用して、3分の1以上がPINを選択します。 結果によると、カード所有者の64%が擬似ランダムPINコードを使用しています。これは、銀行以外のコードを使用した以前の実験では23〜27%をはるかに超えています。 別の5%はデジタルパターン(4545など)を使用し、9%はキーボードパターン(2684など)を好みます。 一般に、攻撃者が6回(ATMを3回、支払い端末を3回)使用した攻撃者は、他人のカードのPINコードを推測する可能性が2%未満です。
| ファクター | 例 | Rockyou | iPhone | 世論調査 |
|---|
| 日程 |
| DDMM | 2311 | 5.26 | 1.38 | 3.07 |
| DMGG | 3876 | 9.26 | 6.46 | 5.54 |
| MMDD | 1123 | 10.00 | 9.35 | 3.66 |
| MMGG | 0683 | 0.67 | 0.20 | 0.94 |
| よーい | 1984 | 33.39 | 7.12 | 4.95 |
| 合計 | 58.57 | 24.51 | 22.76 |
| キーボードパターン |
| 隣接する | 6351 | 1.52 | 4.99 | - |
| 四角 | 1425 | 0.01 | 0.58 | - |
| 角度 | 9713 | 0.19 | 1.06 | - |
| 十字架 | 8246 | 0.17 | 0.88 | - |
| 対角線 | 1590 | 0.10 | 1.36 | - |
| 横線 | 5987 | 0.34 | 1.42 | - |
| 言葉 | 5683 | 0.70 | 8.39 | - |
| 縦線 | 8520 | 0.06 | 4.28 | - |
| 合計 | 3.09 | 22.97 | 8.96 |
| デジタルパターン |
| 69で終了 | 6869 | 0.35 | 0.57 | - |
| 数字のみ0〜3 | 2000年 | 3.49 | 2.72 | - |
| 数字のみ0-6 | 5155 | 4.66 | 5.96 | - |
| 繰り返しペア | 2525 | 2.31 | 4.11 | - |
| 同じ番号 | 6666 | 0.40 | 6.67 | - |
| 降順 | 3210 | 0.13 | 0.29 | - |
| 増加するシーケンス | 4567 | 3.83 | 4.52 | - |
| 合計 | 15.16 | 24.85 | 4.60 |
| 数字のランダムなセット | 23.17 | 27.67 | 63.68 |
すべては問題ありませんが、残念なことに、回答者のかなりの部分(23%)が日付の形式でPINコードを選択し、ほぼ3分の1が生年月日を使用しています。 回答者のほぼすべて(99%)が、この日付が印刷されたさまざまな身分証明書を銀行カード付きの財布に入れていると答えたため、これは問題を大きく変えます。 攻撃者がカード所有者の誕生日を知っている場合、有能なアプローチで、PINコードを推測する確率は最大9%になります。
解決策として、著者は、銀行が最も人気のあるPINコードの100を禁止することを提案しています-一般的なケースでは、これは推測の確率を0.2%に減らします。
最も人気のある100のPINコード0001 1956–2015、2222、2229、2580、3333、4444、5252、5683、6666、7465、7656。
PS実際には、もちろん、攻撃者がPINコードを推測するよりもはるかに簡単です。 しかし、あなたはのぞき見から身を守ることができます。