26% dintre persoane utilizează cifre ușor de intuit drept cod PIN pentru a-și debloca telefoanele. Aplicați aceeași metodă?

Probabil ați văzut deja lista cu cele mai populare 25 de parole care sunt larg (re-) utilizate -  „password” rămâne la nivel universal drept una dintre cele mai comune alegeri - dar ce putem spune despre originalitatea cu care sunt alese codurile PIN care protejează accesul la telefon? Cât de unice sunt codurile PIN cu care alegem să oprim intrușii să intre fraudulos în telefoanele noastre și să aibă acces nestingherit în conturile noastre prețioase?

Oamenii tind să-și blocheze telefoanele cu un cod, dar ce s-ar întâmpla dacă cineva ar ști acest cod sau ar putea să-l ghicească? L-ar putea ghici testând  cele mai frecvent utilizate coduri PIN? Vor putea apoi să vă citească e-mailurile, să trimită un mesaj pe WhatsApp în locul dumneavoastră sau să vizualizeze coșurile dvs. de cumpărături online?

Cercetările recente ale Institutului SANS au dezvaluit că primele 20 de coduri PIN, cele mai comune utilizate pentru protejarea accesului la telefonul mobil sunt (nu în ordine):

0000
1004
1010
1111
1122
1212
1234
1313
2000
2001
2222
4444
3333
4321
5555
6666
6969
7777
8888
9999

 Un procent uimitor de 26% dintre toate telefoanele afectate în incidente sunt în cele din urmă hackuite folosind codurile de mai sus. Dacă telefonul dvs este furat sau pierdut, există șanse mari ca infractorii să poată pătrunde în telefon după doar câteva încercări - chiar și fără a ști nimic despre dvs.

Atunci de ce oamenii – inclusiv celebrități precum Kanye West - continuă să utilizeze coduri simple? Cel mai bine ar fi să răspundeți însă, mai înainte, la această scurtă întrebare: Când ați schimbat ultima dată codul PIN utilizat pentru a debloca telefonul?

Majoritatea oamenilor au acum un smartphone asociat cu o metodă de deblocare configurată si păstrată aproximativ de un deceniu și trebuie spus că din 2007, de când a apărut primul iPhone Apple, ne-au interesat mai mult caracteristicile decât discutarea vectorilor posibili de atac.

Cititorii de amprentă au devenit disponibili mult mai recent, astfel că utilizatorii erau anterior nevoiți să introducă codul PIN de deblocare chiar și de 50, sau poate chiar 100 de ori pe zi. Cu timpul, utilizatorii și-au dorit să poată accesa telefoanele mai rapid și ușor.

Problema este că deși au fost introduse opțiuni pentru coduri mai lungi, Face ID sau Touch ID, oamenii își schimbă rareori codurile PIN inițial configurate, cel mai des refolosind același cod vechi pe fiecare dispozitiv - chiar dacă în prezent metoda principala de deblocare a telefoanelor se face rar, din prima, cu un cod PIN.

O metodă foarte des întâlnită pe care oamenii o folosesc pentru a-și aminti codurile PIN este de a folosi numere care înseamnă ceva pentru ei. Un infractor cibernetic se bazează tocmai pe faptul că oamenii au în general o atitudine de tipul „mie nu mi se poate întâmpla”. Ce se poate întâmpla deci dacă persoana care dorește să intre fraudulos  în telefonul dvs știe sau află câteva detalii generale care vă caracterizează? Când telefoanele au un cod format din 4 cifre, oamenii vor folosi deseori un an relevant și important pentru ei; atunci când este recomandat un cod de 6 cifre, oamenii introduc deseori elemente dintr-o dată calendaristică memorabilă pentru a debloca telefonul.

Acesta este un mod extrem de periculos de a vă asigura dispozitivul și datele prețioase stocate în el, pentru că permite oricărui infractor cibernetic cu anumite abilități de cercetare open-source să încerce posibile coduri pentru a vă debloca telefonul.

De ce trebuie să ne intereseze contextul

Iată un mic exemplu despre cât de ușor poate fi ghicit codul PIN. Am fost recent la un eveniment în care susțineam o prelegere - ironic, despre cum se poate pirata o afacere - și unde am început să discut despre modul în care infractorii cibernetici pot folosi ingineria socială pentru a afla parolele. Pe durata evenimentului o persoană din primul rând și-a luat telefonul din buzunar și a introdus un cod PIN pentru a-l debloca. Am observat că a introdus un cod de 6 cifre și am putut vedea ultimele două cifre, care erau 1 și 4.

Pentru majoritatea oamenilor, ar putea parea doar două numere aleatorii, dar dacă adaugăm un context acestor numere, am putea fi capabili să descoperim celelalte patru. Am deschis ulterior o conversație cu această persoană și am întrebat care este numele lui apoi am căutat numele pe Facebook. În secțiunea cu detalii personale de pe profilul lui, am descoperit că era căsătorit, dar în afară de numele soției, nu mai erau alte lucruri de aflat. Am dat clic pe profilul soției sale și m-am dus la secțiunea cu detalii personale ale acesteia.

Acolo am observat că are o mulțime de informații personale disponibile public, în special data la care s-a căsătorit, care a fost 1 septembrie, da, ați ghicit, 2014. L-am întrebat politicos pe domn dacă îmi poate oferi telefonul său și să încerc să îl deblochez. Deși nu era tocmai bucuros de solicitarea mea, de dragul testului, mi-a permis. Am introdus „010914” în telefonul său și în bingo, am intrat! Am demonstrat live un exemplu simplu de ceea ce se poate întâmpla în viața reală și, în acel moment, jumătate din public și-a scos apoi telefoanele și a întrebat care este cea mai simplă modalitate pentru a-și schimba codul PIN.

Ce putem spune despre Face ID sau Touch ID? Ne protejează pe deplin împotriva atacatorilor? Ei bine, răspunsul scurt este nu. Mulți oameni cred că, odată ce au un cititor de amprente sau o recunoaștere facială pe dispozitivul lor, nu va fi nevoie să aibă un cod PIN puternic. Amintiți-vă că încă co-există un cod PIN care permite accesul în telefon și un hacker poate identifica acest cod mult mai ușor decât apelând la “tăierea degetului” sau “replicarea feței” pentru a vă deschide dispozitivul.

Când lucram în Unitatea de Criminalistică Digitală a poliției, aveam un instrument minunat care putea intra în iPhone-urile Apple. (Puteți vedea cum funcționează acest echipament aici). Cititorul nostru de coduri era capabil să încerce toate codurile din 4 cifre treptat, de la „0000” la „9999”, fără a bloca sau șterge telefoanele. Este nevoie de 4 secunde pentru fiecare încercare, așa că, în mod ideal, pentru a economisi timp - am învățat să începem procesul cu un cod cât mai apropiat de cel real.

Obișnuiam să pornim procedura cu „1970” și de obicei câștigam acces la dispozitiv înainte de ajunge la „2010” . Acest lucru se datorează faptului că foarte mulți oameni utilizează data lor de naștere, a anului de nuntă sau a anului în care s-a născut copilul lor, astfel încât să-și poată aminti mai ușor PIN-ul configurat.

Cum să rămâneți în siguranță

Cea mai bună contramăsură este să începeți să utilizați un cod alfanumeric lung pentru a debloca telefonul; apoi, deoarece acest lucru poate consuma mult timp pentru a debloca dispozitivul, activați Touch ID sau Face ID pentru a accelera intrarea.

O idee bună de menționat e aceea că ar trebui să fiți mai atent la contextul public în care introduceți aceste date de acces și la cine ar putea să vă urmărească mișcările. Mult prea des am văzut în transportul public că oamenii introduc coduri PIN, parole sau chiar vorbesc la telefon dictând detalii despre cardul de credit, inclusiv numărul CVV din trei cifre pe spate!

În final, după realizarea unei copii de siguranță a dispozitivului, ar trebui să adăugați un nou nivel de securitate activând „Găsiți iPhone-ul meu” pentru iOS sau „Găsiți dispozitivul meu” pe Android, ceea ce vă va permite să ștergeți datele de pe telefon de la distanță în cazul în care acesta va fi furat vreodată ( Funcțiile anti-furt și de ștergere de la distanță sunt, de asemenea, incluse în soluții mobile de securitate de renume). Chiar dacă este posibil să nu mai vedeți niciodată dispozitivul respectiv, cel puțin infractorii nu vor putea să intre în dispozitivul dvs. și să cerceteze datele și informațiile dvs. personale.