Cybersicherheit 12.03.2020, 07:00 Uhr

Die Smartphone-PIN sinnvoll auswählen

Ein Team aus deutschen und amerikanischen IT-Sicherheitsforschern hat untersucht, wie Menschen Zahlenkombinationen für ihre PIN zur Sicherung des Smartphones auswählen. Das Ergebnis: Es gibt bevorzugte Varianten, und eine sechsstellige Kombination erhöht im Vergleich zu einer vierstelligen nicht die Sicherheit.

Smartphone Display

Ein Forscherteam hat die Sicherheit von vier- und sechsstelligen PINs beim Smartphone getestet. Die längere Variante bietet dabei nicht unbedingt mehr Schutz.

Foto: panthermedia.net/ scanrail

Das Team der Wissenschaftler setzt sich aus Philipp Markert, Daniel Bailey und Markus Dürmuth vom Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum (RUB), Maximilian Golla vom Bochumer Max-Planck-Institut für Cybersicherheit und Schutz der Privatsphäre sowie Adam Aviv, Professor an der US-amerikanischen George Washington University zusammen. Im Rahmen einer Studie baten Nutzer von Android- sowie Apple-Smartphones, eine vier- oder sechsstellige PIN zu vergeben. Im Anschluss folgte eine Analyse der PINs. Dabei stand die Frage im Mittelpunkt: Wie leicht sind die Zahlenkombinationen zu erraten? Die Wissenschaftler gingen grundsätzlich davon aus, dass es einen Angreifer gibt, der das Opfer nicht kennt und für den es folglich irrelevant ist, wessen Handy er entsperrt. Demnach sei die beste Strategie für einen Angriff, die wahrscheinlichsten PINs zu versuchen.

Die Forscher teilten die Probanden in zwei Gruppen auf: die eine konnte die PIN frei wählen, die andere musste Kombinationen wählen, die nicht auf einer Sperrliste standen. Solche Listen existieren tatsächlich seitens der Hersteller. Deshalb kam unter anderem eine von Apple in der Studie zur Anwendung, zudem fertigten die Forscher eigene unterschiedlich umfangreiche Listen an. Die Teilnehmer wählten sowohl vier- als auch sechsstellige Kombinationen. Das Ergebnis zeigt, dass in der Praxis sechsstellige PINs keine größere Sicherheit bieten. Mit einer vierstelligen PIN lassen sich 10.000 verschiedene Kombinationen bilden, mit einer sechsstelligen dagegen eine Million. „Mathematisch gesehen besteht natürlich ein Riesenunterschied“, sagt Philipp Markert. „Aber die Nutzer haben Vorlieben für bestimmte Kombinationen, manche PINs werden besonders häufig genutzt, beispielsweise 123456 oder 654321.“

Nach Angaben der Forscher schöpfen die Anwender das Potenzial dieser sechsstelligen Codes nicht aus. Deshalb sei eine vernünftig gewählte vierstellige PIN ausreichend sicher, weil die Hersteller die Anzahl der Versuche einschränken. Apple sperrt beispielsweise nach zehn falschen Eingaben das Gerät komplett. Android-Smartphones nutzen den zeitlichen Faktor, um die Eingabe zu beschränken.

Wissenschaftler ermitteln die beliebtesten PINs

Apple gibt auf seiner Sperrliste 274 Zahlenkombinationen an. „Da man auf dem iPhone aber eh nur zehn Rateversuche beim Eingeben der PIN hat, bringt die Sperrliste keinen Sicherheitsvorteil“, sagt Maximilian Golla. Laut der Wissenschaftler wäre eine Sperrliste für Android-Geräte sinnvoller, da Angreifer dort mehr PINs ausprobieren können. Ein weiteres Ergebnis der Studie: Die häufigsten PINs sind 1234, 0000, 2580, 1111, 5555. Eine ideale Sperrliste müsse bei vierstelligen PINs rund 1.000 Einträge beinhalten und anders zusammengesetzt sein als die aktuelle Liste von Apple. Zudem könne man bei einem iPhone die Warnung ignorieren, dass man eine häufig verwendete PIN eingibt. Somit verhindert das Gerät nicht konsequent, dass Einträge von der Sperrliste verwendet werden. Das untersuchten die Forscher ebenfalls, indem ein Teil der Probanden nach der Warnung wählen konnte, ob sie eine neue PIN eingeben wollten oder nicht. Die anderen mussten eine neue PIN auswählen, die nicht auf der Liste stand. Tests ergaben, dass im Durchschnitt die PINs beider Gruppen gleichermaßen schwer zu erraten waren.

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs
Hamburger Stadtentwässerung AöR ein Unternehmen von HAMBURG WASSER-Firmenlogo
Ingenieur (m/w/d) Elektrotechnik als Projektleiter Hamburger Stadtentwässerung AöR ein Unternehmen von HAMBURG WASSER
Hamburg Zum Job 
MEWA Textil-Service SE & Co. Management OHG-Firmenlogo
Projektmanager (m/w/d) PMO Business Transformation MEWA Textil-Service SE & Co. Management OHG
Wiesbaden Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
IMS Messsysteme GmbH-Firmenlogo
Systemingenieur (m/w/i) für Oberflächeninspektion IMS Messsysteme GmbH
Heiligenhaus Zum Job 
Bisping & Bisping GmbH & Co. KG-Firmenlogo
Projektleiter (m/w/d) Internetkommunikation / Telekommunikation Bisping & Bisping GmbH & Co. KG
Lauf an der Pegnitz Zum Job 
Bisping & Bisping GmbH & Co. KG-Firmenlogo
Projektleiter (m/w/d) Glasfaserausbau Bisping & Bisping GmbH & Co. KG
Lauf an der Pegnitz Zum Job 
Eckelmann AG-Firmenlogo
Systemingenieur Echtzeit-Programmierung/-Entwicklung (m/w/d) Eckelmann AG
Wiesbaden Zum Job 
Safran Data Systems GmbH-Firmenlogo
Embedded Software Engineer (m/w/d) Safran Data Systems GmbH
Bergisch Gladbach Zum Job 
HygroMatik GmbH-Firmenlogo
Junior Entwicklungsingenieur für Hard- und Softwarelösungen (m/w/d) HygroMatik GmbH
Henstedt-Ulzburg Zum Job 
THU Technische Hochschule Ulm-Firmenlogo
W2-Professur Technische Informatik THU Technische Hochschule Ulm
Ulm Zum Job 
Westfälische Hochschule-Firmenlogo
Professur Smarte Robotik und KI (W2) Westfälische Hochschule
Bocholt Zum Job 
Hochschule Esslingen - University of Applied Sciences-Firmenlogo
Professor:in (W2) für das Lehrgebiet "Daten und IoT-Systeme" Hochschule Esslingen - University of Applied Sciences
Esslingen am Neckar Zum Job 
Bundesamt für Bauwesen und Raumordnung (BBR)-Firmenlogo
Ingenieurin / Ingenieur (w/m/d) der Elektro- bzw. Informationstechnik für die Erneuerung der Kulturbauten Bundesamt für Bauwesen und Raumordnung (BBR)
Berlin Zum Job 
Schleifring GmbH-Firmenlogo
Entwicklungsingenieur FPGA / VHDL (m/w/d) Schleifring GmbH
Fürstenfeldbruck Zum Job 
Patent- und Rechtsanwälte Andrejewski, Honke-Firmenlogo
Ingenieur (m/w/d) zur Ausbildung zum deutschen Patentanwalt (m/w/d) und European Patent Attorney Patent- und Rechtsanwälte Andrejewski, Honke
Essen Zum Job 
WIRTGEN GROUP Branch of John Deere GmbH & Co. KG-Firmenlogo
Project Manager Surveying and Designfor Machine Control (m/w/d) WIRTGEN GROUP Branch of John Deere GmbH & Co. KG
Ludwigshafen am Rhein Zum Job 
Prognost Systems GmbH-Firmenlogo
Technischer Kundenbetreuer / Elektroingenieur (m/w/d) im Customer Support Prognost Systems GmbH
Rheine Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieur (w/m/d) C-ITS Entwicklung Die Autobahn GmbH des Bundes
Frankfurt am Main Zum Job 
Wirtgen GmbH-Firmenlogo
Software-Testingenieur (m/w/d) Testautomatisierung -Steuerungssoftware für mobile Arbeitsmaschinen Wirtgen GmbH
Windhagen Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieur (w/m/d) Informationssicherheit Die Autobahn GmbH des Bundes
Frankfurt Zum Job 

Im Rahmen der Studie fanden die Wissenschaftler außerdem heraus, dass vier- und sechsstellige PINs zwar unsicherer sind als Passwörter, dafür aber sicherer als Entsperrmuster. Bei der Auswahl der Zahlenkombinationen legen Nutzerinnen und Nutzer besonders viel Wert darauf, sich die Zahlen gut merken zu können. Als Vorliebe gilt zum Beispiel der Klang der Ziffernfolge, die als eingängig wahrgenommen wird, auch ein Datum mit besonderer Bedeutung wird gern verwendet oder Ziffern, die ein bestimmtes Muster auf der Tatstatur ergeben. Zahlencodes, die nach T9-Texterkennung ein bestimmtes Wort ergeben, kommen häufig vor – beispielsweise 5683 für „love“. Die Forscher erstellten im Rahmen ihrer Studie eine Liste mit den zehn beliebtesten vierstelligen PINs: 1234, 0000, 2580, 1111, 5555, 5683, 0852, 2222, 1212, 1998 – sortiert nach absteigender Beliebtheit. Als die beliebtesten sechsstelligen PINs ermittelten sie: 123456, 654321, 111111, 000000, 123123, 666666, 121212, 112233, 789456, 159753. Im Mai 2020 präsentieren die Forscher ihre gesamten Ergebnisse auf dem „IEEE Symposium on Security and Privacy“ in San Francisco.

Mehr zum Thema Sicherheit:

Ein Beitrag von:

  • Nina Draese

    Nina Draese hat unter anderem für die dpa gearbeitet, die Presseabteilung von BMW, für die Autozeitung und den MAV-Verlag. Sie ist selbstständige Journalistin und gehört zum Team von Content Qualitäten. Ihre Themen: Automobil, Energie, Klima, KI, Technik, Umwelt.

Themen im Artikel

Empfehlung der Redaktion

Projektmanagement
Projektmanagement

Die 11 besten Projektmanagement-Tools
Stromkabel an B des Bitcoin
Kryptowährung

Bitcoin: Wie umweltschädlich ist die Kryptowährung wirklich?
Messenger-Dienst

WhatsApp-Tricks, die Sie noch nicht kannten
Bildbearbeitung

Photoshop und Lightroom: Diese Alternativen sollten Sie sich anschauen
Luftbildaufnahme von Tokio
Ranking

Die 10 größten Städte der Welt
Messe

Hannover Messe Special

Ähnliche Artikel

Blick auf ein Smartphone mit der SBB-App
Computersicherheit

Standortdaten auf Smartphones sind keine sicheren Daten
Anmeldefenster mit Log-In auf einem Laptop.
Cybersicherheit

Die Top Ten der Passwörter 2023
Tastatur mit post-it Passwort
Eigene Daten schützen

Die beliebtesten Passwörter 2022 sind keine guten Beispiele
User repariert MacBook selbst
Für Notebooks mit M1-Chip

Notebooks selbst reparieren – Apple liefert Werkzeuge und Originalteile

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.

Jetzt anmelden

Auch auf dieser Seite werden Cookies verwendet. Wir können damit die Seitennutzung auswerten, um nutzungsbasiert redaktionelle Inhalte und Werbung anzuzeigen. Das ist für uns wichtig, denn unser Angebot finanziert sich über Werbung. Die Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung. Weitere Infos