PIN kódy, které útočníci tipují jako první: pokud je mezi nimi i váš, je na čase ho změnit

Poslední linie obrany našeho digitálního života často stojí na čtyřech číslech. Zadáváme je při odemykání telefonu, výběru hotovosti z bankomatu i při přístupu do internetového bankovnictví. PIN je nenápadný, ale klíčový bezpečnostní prvek. A jak ukazují data, ne všechny volby jsou si rovny.

Australský server ABC proto analyzoval 29 milionů PIN kódů, které se objevily v databázích po úniku dat a které shromažďuje projekt Have I Been Pwned? – služba provozovaná z Austrálie, jež lidem po celém světě pomáhá zjistit, zda se jejich údaje neobjevily mezi kompromitovanými daty. Výsledek? Některé kombinace jsou natolik populární, že jejich uhádnutí nepředstavuje pro útočníka téměř žádnou výzvu.

Související

123456 opravdu není silné heslo. Nikdy a nikde - a už vůbec ne v e-mailu

Hesla jsou dnes pod neustálým tlakem. O rizicích slabých či opakovaně používaných hesel už slyšel téměř každý. Jak je na tom ale váš PIN? Ta čtyři čísla, která odemykají telefon a s ním i přístup k e-mailům, bankovním aplikacím nebo pracovním dokumentům?

Možná namítnete, že telefon odemykáte otiskem prstu nebo rozpoznáním obličeje. Tedy jen do chvíle, kdy přichází aktualizace systému, restart nebo jiný problém, který vás přinutí vrátit se k zadání PIN. A právě tehdy se ukáže, jak silná tahle čtyři čísla skutečně jsou.

Matematika je neúprosná. Čtyřmístný PIN nabízí maximálně 10 tisíc kombinací: od 0000 po 9999. To zní jako hodně pokusů, ale v praxi existují mnohem rychlejší cesty, jak některé kódy prolomit. A právě tady přichází na řadu seznam nebezpečných kombinací.

Analýza více než 29 milionů uniklých PIN kódů odhalila, že téměř každý desátý člověk používá stejný čtyřmístný kód. Z dat vznikl žebříček padesáti nejčastějších kombinací, tedy těch, kterým by se měl každý vyhnout. Pokud je totiž dokáže dohledat novinář, zvládne to i zloděj mobilů nebo platebních karet.

Číslům blízko sebe se raději vyhněte

Nejčastějším PIN je pořád 1234. Následují 1111 a 0000. V první desítce se objevují také 1342, 1212, 2222, 4444, 1122, 1986 a 2020. Celý seznam padesáti nejrozšířenějších kombinací zahrnuje například i 4321, 2468, 2580, opakující se čtveřice jako 3333, 5555, 6666, 7777, 8888 či 9999, ale také řadu letopočtů od 1973 přes 1984 až po 2005. Právě data narození a významná výročí přitom bezpečnostní experti dlouhodobě označují za rizikovou volbu.

Doporučení je jednoduché: vyhnout se nejen očividným sekvencím a opakujícím se číslicím, ale i kombinacím, které mohou mít osobní význam – právě ty totiž útočníci zkoušejí jako první. Pokud chcete zabránit tomu, aby vám někdo nahlédl do telefonu ve chvíli nepozornosti, je dobré zapomenout na narozeniny, výročí i hezky vypadající číselné řady.

Zajímavé je i historické pozadí samotného PIN kódu. Vynález osobního identifikačního čísla je nejčastěji připisován Jamesi Goodfellowovi, který si technologii nechal patentovat v roce 1966 – společně se svým dalším zásadním vynálezem, bankomatem. První bankomat uvedla do provozu londýnská Barclays Bank v roce 1967. Na zabezpečení platebních karet pomocí PIN si však klienti museli počkat do roku 1972, kdy jej zavedla Lloyds Bank společně s magnetickým proužkem pro ukládání dat.

Historie je ale o něco složitější. V roce 1972 si patent na systém ověřování PIN pomocí hardwarového bezpečnostního modulu podal také Mohamed M. Atalla. Jeho zařízení, komerčně uvedené v roce 1973 pod názvem Identikey a známé jako Atalla Box, představovalo první čtečku karet s PINem. I proto je Atalla někdy – poněkud matoucím způsobem – označován za otce PIN kódu.

Od té doby se čtyřmístný kód stal globálním standardem. Přes svou jednoduchost zůstává základním kamenem zabezpečení: ať už jako samostatná ochrana, nebo jako záloha biometrických metod. Právě jeho rozšířenost a jednoduchost ale svádí k pohodlnosti.

Data z analýzy 29 milionů uniklých kódů jsou varováním: pokud patříte k těm, kdo používají některou z padesáti nejběžnějších kombinací, nejste zdaleka sami. A právě to je problém. V bezpečnosti totiž často neplatí, že v davu jste méně nápadní. Naopak. Čím běžnější volba, tím je pravděpodobnější, že ji útočník vyzkouší jako první.

VIDEO: „Je to strašně přeceněné.“ Programátor cupuje hype kolem umělé inteligence

Zdroj: ABC News, Forbes, Have I Been Pwned