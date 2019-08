Jan Sedlák

Český fintech Wultra (dříve Lime) vydává open source nástroj pro vývojáře, který hodnotí sílu zadaného PIN kódu v aplikaci. Knihovna Wultra Passphrase Meter je k dispozici na GitHubu a další informace a integrační návody pro Android a iOS jsou pak zde.

Wultra svůj nástroj popisuje takto:

S klasickým čtyřmístným PIN kódem existuje 10 000 možných číselných kombinací od 0000 do 9999. To nezní moc bezpečně, ve skutečnosti to ale bezpečné ale je.

Každý bezpečnostní systém se správně implementovaným systémem pro zadávání PIN kódu má tzv. „pokus-omyl pojistku“. To reálně znamená, že PIN kód je zneplatněn po 3 až 5 neúspěšných pokusech o jeho zadání a potenciální útočník tak má pouze omezený prostor pro to, aby kombinaci uhádl. „Uhádl“ je přesně to slovo, které je zde nutné zdůraznit. PIN kód totiž musí být nastaven takovým způsobem, aby hádání byla jediná možnost, jak by na něj mohl útočník přijít.

Nabízí se proto otázka, jak ztížit proces hádání té správné číselné kombinace? Řešení je nasnadě, a sice identifikací v tom smyslu, že uživatel zvolil kombinaci velmi běžnou a výzvou k nastavení kombinace znatelně méně „průhledné“.

Aby bylo možné eliminovat ty nejčastější číselné kombinace, jež uživatelé volí za své PIN kódy, je nutné nejprve porozumět tomu, jak obecně vypadají. Před časem byl zveřejněn článek, který tyto kombinace detailně popisuje. Shrňme si z něj jen těch 5 nejběžnějších – 1234, 1111, 0000, 1212 a 7777.

Pokud v kombinaci 1234 poznáváte i váš PIN, pak nezbývá než pogratulovat. Vy a dalších 10 % populace máte stejný PIN. Výše zmíněných top 5 nejběžnějších PIN kódů je ve skutečnosti tak často používaných, že při pěti možných pokusech o zadání existuje 20% pravděpodobnost, že se útočník do této kombinace trefí. A to je pravděpodobnost vcelku vysoká.

Je pochopitelné, proč tomu tak je. Vymyslet skutečně unikátní a náhodnou číselnou kombinaci je pro běžného smrtelníka takřka nemožné. Při směsici větší či menší dávky lenosti a tendence k volbě takových čísel, která jsou pro uživatele snadno zapamatovatelná, je skutečně nezbytné, aby byl uživatel varován, že jeho volba možná není tak úplně šťastná.

Jaké kombinace tedy hledat? Po důkladném průzkumu a testování nalezli bezpečnostní experti z Wultry hned několik vzorců pro tvorbu kombinací čísel, které mohou vést ke snadno k PIN kódu, který se dá snadno uhádnout, a ke kterým se však zároveň uživatelé uchylují nejčastěji:

Datum či rok narození (např. 1984)

Opakující se čísla (např. 8882)

Nedostatek unikátních číslic (např. 8282)

Opakující se vzorce ve vícečíselných kódech (např. 401104)

Čísla tvořící obrazec na klávesnici (např. 2580)

Hodnoty mající jiný význam (např. 4200)

S těmito šesti základními principy na paměti může každý uživatel eliminovat riziko použití těch nejčastějších kombinací. Co když ale někdy právě toto není cílem.

Zjednodušeně, existuje-li 10 čísel, z nichž je 8 označeno jako „špatných“, pravděpodobně uživatel zvolí zbývající dvě pro sestavení svého PIN kódu. To však vede k opačnému efektu, než který je kýžený – eliminací okruhu možností, z čeho PIN sestavit, se totiž útočníkovi zužuje i okruh čísel, ze kterých vybírá a která následně hádá. V tomto případě proto jako slabá označuje knihovna od Wultry přibližně 5 % veškerých PIN kódů.