Ruhr-Uni: Hunderte PIN-Codes bei Smartphones sind unsicher

Smartphone-Nutzer sind beim Pin-Code ihre Handys oft zu unvorsichtig. © RUB/Marquard

Bochum. Forscher der Ruhr-Uni Bochum haben erstmals die Sicherheit von Handy-PIN-Codes untersucht. Die Länge der Ziffernfolge ist nicht entscheidend.

Bei vielen ist es ein Fingerabdruck, andere schützen ihr Handy über einen Iris-Scan - doch parallel dazu gibt es auch immer einen PIN-Code: Forscher der Ruhruniversität Bochum haben jetzt in einer internationalen Studie erstmals die Sicherheit von PIN-Nummern bei Handys untersucht. Ihr Ergebnis: Viele Nutzer machen es sich bei der Auswahl ihres Sicherheits-Codes zu leicht!

Die gängigsten Betriebssysteme von Apple und Android versuchen auf unterschiedliche Weise, Geräte ihrer Nutzer zu schützen: Bei Android ist es ein vierstelliger Code, mit dem sich ein Smartphone entsperren lässt, Apple setzt auf sechs Ziffern. Doch: „Die Anwenderinnen und Anwender schöpfen das Potenzial der sechsstelligen Codes also nicht aus“, sagt Philipp Markert von der Arbeitsgruppe Mobile Security am Horst-Görtz-Institut für IT-Sicherheit der Ruhruni Bochum.

PIN-Code: Smartphone-Nutzer halten nicht viel von Mathematik

„Mit einer vierstelligen Pin lassen sich 10.000 verschiedene Kombinationen bilden, mit einer sechsstelligen eine Million“, erklärt der 26-jährige IT-Sicherheitsexperte. Doch Nutzer machten sich meist einfach: Die Studie unter 1220 Probanden zeigte, am beliebtesten waren PIN-Codes, „die sich schnell eintippen und gut merken lassen“, sagt Markert - und die sich dadurch häufig recht leicht knacken lassen. Fazit der Forscher: „Es ist egal, ob ein PIN-Code vierstellig ist oder sechsstellig“.

Ein weiterer Unterschied zwischen Android und Apple: Auf dem iPhone sind bestimmte besonders oft gewählte PIN-Codes in einer „Blacklist“ hinterlegt. Das Betriebssystem warnt, wenn ein Code, den ein Nutzer beim Einrichten eines Gerätes wählt, unsicher erscheint. Auf ungefähr 1000 unsichere Ziffernkombinationen kamen die Forscher. Die Apple-Blacklist jedoch warne nur bei 274 Zahlenkombinationen und lasse die Auswahl letztlich dann doch zu.

Android-Handys sollten eine PIN-Code-“Blacklist“ haben

Eine wirkliche Hilfe sei die „Blacklist“ ohnehin nicht, urteilen die Forscher: „Weil Apple das iPhone oder iPad nach zehn falschen Eingaben komplett sperrt“, würde eine „vernünftig gewählte vierstellige PIN schon reichen“, sagt Markert. Bei Android-Smartphones hingegen wäre eine Blacklist wie bei Apple wünschenswert: „Weil Angreifer dort mehr Pins durchprobieren könnten“ - und zwar unbegrenzt!

Allerdings brauche man dazu einiges an Zeit: „In elf Stunden schafft man es, 100 Zahlenkombinationen zu testen“, sagt Markert - weil man auf Android-Handys zwar unbegrenzt oft aber nicht beliebig schnell hintereinander verschiedene Codes eingeben kann. Bei 200 Eingabe-Versuchen zögen sich die Sperrzeiten des Handys dann auf insgesamt zwei Monate hin, sagt Markert.

IT-Forscher warnen vor „Shoulder-Surfern“

Dass sich die Forscher zusammen mit Experten der George Washington University in Washington D.C. die Mühe gemacht haben, die Sicherheit von PIN-Codes zu testen, hat durchaus Bezüge zur Praxis: „Wenn ein Angreifer ein Handy gefunden oder gestohlen hat und nun von Hand versucht, es zu entsperren“, beschreibt Philipp Markert.

Handys können jedoch auf viele weitere Arten attackiert werden, sagt Markert: „Zum Beispiel durch ‘Shoulder-Sourfing’, wenn einem zum Beispiel jemand in Bus und Bahn über die Schulter schaut und die Pin mitliest“. Auch Schlieren und Fettabdrücke auf dem Display können helfen, den Pin-Code zu erraten. Und wer etwa sein Geburtsdatum als Pin gewählt hat, läuft Gefahr, dass jemand mit diesem Wissen das fremde Handy entsperren könnte.

Das sind beliebte Nummern-Codes

Und was sind die am häufigsten verwendeten PIN-Codes bei Handys? Mit Blick auf Android-Geräte sind es die Ziffernfolgen 1234, 0000, 1111, 5555 oder 2580; bei letzterer liegen die Ziffern auf der Handy-Tastatur in einer Reihe untereinander. Beim iPhone sind die beliebtesten sechsstelligen PINs zum Teil nur unwesentlich anders, hat die Studie gezeigt: 123456 stehe an erster Stelle; ein Code, bei dem IT-Sicherheitsexperten mit Blick auf Computer-Passwörter nicht müde werden, davor zu warnen. Weitere beliebtet Apple-Pins seien 654321, 111111, 000000 oder 123123.

Sehr beliebt bei Smartphone-Nutzern seien zudem Zahlencodes, die nach „T9“-Texterkennung ein bestimmtes Wort ergeben, wie etwa die Ziffernfolge 5683 für „love“, sagt Philipp Markert. Generell gelte bei PIN-Codes: Vier- und sechsstellige Pins sind unsicherer als Passwörter mit kombinierten Zahlen, Sonderzeichen und Buchstaben, „aber sicherer als Entsperrmuster“.