近日,波鴻魯爾大學(xué)、馬克斯普朗克研究所和華盛頓大學(xué)的安全專家對iPhone手機的PIN安全性以及其如何受到黑名單機制影響進行了研究,結(jié)果讓人吃驚:
研究結(jié)果表明,較長的六位數(shù)PIN相比四位PIN安全性并沒有得到多少增強,有時甚至?xí)档蛷姸取?/p>
研究者制作了一個載有攝像頭的樹莓派樂高機器人裝置(上圖),可以模擬連接到iPhone的USB鍵盤,從而通過暴力方式快速測試出iPhone自帶的PIN黑名單(如果你在設(shè)置新手機時選擇了黑名單中的PIN碼,iPhone會彈出警告窗口:此PIN容易被猜中)。
在研究論文中,研究者提供了對智能手機上收集的用戶4位和6位PIN碼(n=1220)進行的首次全面研究,其中四位PIN碼樣本來自2011年的Amitay-4應(yīng)用(204432個),而六位PIN碼則來自RockYou的密碼泄露(2758490個)。結(jié)果發(fā)現(xiàn),使用6位PIN而不是4位PIN只能提供很少的安全性,甚至可能降低安全性。
研究者還研究了蘋果黑名單的影響,iOS設(shè)備使用了兩個黑名單,其中4位PIN黑名單包含274個PIN,6位PIN黑名單包含2910個PIN。研究者通過上述暴力裝置提取了兩個黑名單,并將它們與其他四個黑名單進行了比較,包括一個小的4位PIN黑名單(27個PIN),一個大的4位PIN黑名單(2740 PIN)以及兩個分別用于排除4位和6位PIN的安慰劑黑名單。
結(jié)果發(fā)現(xiàn),iOS目前使用的相對較小的黑名單對于受限猜測攻擊幾乎沒有好處。僅在黑名單大的多時才能觀察到安全性提高,而這又以增加用戶的沮喪感為代價。研究分析表明,大約占PIN空間10%的黑名單可能會在可用性和安全性之間達到最佳平衡。
https://arxiv.org/pdf/2003.04868
本文轉(zhuǎn)載自微信公眾號“安全?!?/span>