Studie: Vierstellige PIN zum Sperren des Smartphones genügt

Laut einer Studie reicht ein vierstelliger Sperrcode für das Smartphone-Display aus
(c) dpa Sechs­stel­lige PINs zum Sperren des Smart­phones bringen in der Praxis kaum mehr Sicher­heit als vier­stel­lige. Das hat ein Forscher­team der Ruhr-Univer­sität Bochum, des Max-Planck-Insti­tuts für Cyber­sicher­heit und der George Washington Univer­sity (Washington, D.C.) in einer Nutzer­studie mit 1220 Teil­nehmern heraus­gefunden.

Ein weiteres Ergebnis der Studie: Sowohl vier- als auch sechs­stel­lige PINs sind zwar unsi­cherer als Pass­wörter, aber immerhin sicherer als Entsperr­muster.

Poten­zial sechs­stel­liger Codes bleibt unge­nutzt

Laut einer Studie reicht ein vierstelliger Sperrcode für das Smartphone-Display aus
(c) dpa Bei der Anzahl der PIN-Stellen bestehe mathe­matisch gesehen natür­lich ein Riesen­unter­schied, so die Forscher: Mit einer vier­stel­ligen PIN ließen sich rund 10000 verschie­dene Kombi­nationen bilden, mit einer sechs­stel­ligen PIN rund eine Million. Aller­dings hätten Nutze­rinnen und Nutzer Vorlieben für bestimmte Kombi­nationen. Manche PINs wie 123456 und 654321 würden beson­ders häufig genutzt.

Die Anwen­derinnen und Anwender schöpften das Poten­zial sechs­stel­liger Codes also nicht aus. Offenbar fehle ihnen derzeit noch die Intui­tion, was eine sechs­stel­lige PIN sicher macht, inter­pretieren die Wissen­schaftler das Studi­energebnis.

Apple und Android verhin­dern ewiges Probieren

Eine vernünftig gewählte vier­stel­lige PIN sei vor allem deshalb ausrei­chend sicher, weil die Hersteller die Anzahl der Versuche beschränken, wie häufig man eine PIN eingeben darf. Apple sperrt iOS-Geräte nach zehn falschen Eingaben. Und auf Andro­iden kann man nicht beliebig schnell hinter­einander verschie­dene Codes eingeben - nicht mehr als 100 Zahlen­kombi­nationen in elf Stunden ließen sich durch­probieren.

Apple unter­hält eine PIN-Sperr­liste für unsi­chere vier­stel­lige PINs, in der die Forscher 274 Zahlen­kombi­nationen fanden. Da man auf iPhones aber ohnehin nicht mehr als zehn Versuche beim Eingeben der PIN hat, brächte die Sperr­liste keinen Sicher­heits­vorteil - zumal man auf iPhones Warnungen, dass man eine häufig verwen­dete PIN einge­geben hat, igno­rieren kann.

Hilf­reicher wäre eine Sperr­liste laut den Wissen­schaft­lern auf Android-Geräten. Denn dort können Angreifer ja viel mehr PINs durch­probieren: Die ideale Sperr­liste müsste der Studie zufolge bei vier­stel­ligen PINs unge­fähr 1000 Einträge umfassen und etwas anders zusam­menge­setzt sein als die Apple-Liste.

Die PIN 1234 ist am belieb­testen

Die Hitliste der zehn belieb­testen - und damit poten­ziell unsi­chersten - vier­stel­ligen PINs: 1234, 0000, 2580, 1111, 5555, 5683, 0852, 2222, 1212 und 1998. Und die zehn belieb­testen sechs­stel­ligen PINs: 123456, 654321, 111111, 000000, 123123, 666666, 121212, 112233, 789456 und 159753 - jeweils sortiert nach abstei­gender Beliebt­heit.

Am belieb­testen seien PINs, die schnell einge­tippt oder leicht zu merken sind, etwa, weil die Ziffern­folge eingängig ist, ein Datum mit persön­lichem Wieder­erken­nungs­wert ergibt oder einem Tastatur-Muster entspricht.

Auch Zahlen­folgen, die nach der T9-Tasten­bele­gung ein bestimmtes Wort ergeben, sind beliebt wie unsi­cher. Als Beispiel nennen die Wissen­schaftler etwa 5683 als Ziffern­folge fürs engli­sche Wort "love".

Weitere Tipps zum Thema "sichere Pass­wörter" lesen Sie in einem Ratgeber.