Сложно ли угадать PIN-код?
Несмотря на важную роль PIN-кодов в мировой инфраструктуре, до сих пор не проводилось академических исследований о том, как, собственно, люди выбирают PIN-коды.
Исследователи из университета Кембриджа Sören Preibusch и Ross Anderson исправили ситуацию, опубликовав первый в мире количественный анализ сложности угадывания 4-циферного банковского PIN-кода.
Используя данные об утечках паролей из небанковских источников и онлайн анкетирование, учёные выяснили, что к выбору PIN-кодов пользователи относятся гораздо серьёзнее, чем к выбору паролей для веб-сайтов: большинство кодов содержат практически случайный набор цифр. Тем не менее, среди исходных данных присутствуют и простые комбинации, и дни рождения, — то есть, при некотором везении злоумышленник может просто угадать заветный код.
Отправной точкой исследования был набор 4-циферных последовательностей в паролях из базы RockYou (1.7 млн), и базы из 200 тысяч PIN-кодов от программы блокировки экрана iPhone (базу предоставил разработчик приложения Daniel Amitay). В графиках, построенных по этим данным, проступают интересные закономерности — даты, года, повторяющиеся цифры, и даже PIN-коды, заканчивающиеся на 69. На основе этих наблюдений учёные построили линейную регрессионную модель, которая оценивает популярность каждого PIN-кода в зависимости от 25 факторов, — например, является ли код датой в формате ДДММ, является ли он возрастающей последовательностью, и так далее. Этим общим условиям соответствуют 79% и 93% PIN-кодов в каждом из наборов.
Итак, пользователи выбирают 4-циферные коды на основе всего нескольких простых факторов. Если бы так выбирались и банковские PIN-коды, 8–9% из них можно было бы угадать всего за три попытки! Но, конечно, к банковским кодам люди относятся гораздо внимательнее. Ввиду отсутствия сколько-нибудь большого набора настоящих банковских данных, исследователи опросили более 1300 человек, чтобы оценить, насколько реальные PIN-коды отличаются от уже рассмотренных. Учитывая специфику исследования, у респондентов спрашивали не о самих кодах, а только о их соответствии какому-либо из вышеназванных факторов (возрастание, формат ДДММ, и т.д.).
Оказалось, что люди действительно гораздо тщательнее выбирают банковские PIN-коды. Примерно четверть опрошенных используют случайный PIN, сгенерированный банком. Более трети выбирают свой PIN-код, используя старый номер телефона, номер студенческого билета, или другой набор цифр, который выглядит случайным. Согласно полученным результатам, 64% владельцев карт используют псевдослучайный PIN-код, — это гораздо больше, чем 23-27% в предыдущих экспериментах с не-банковскими кодами. Ещё 5% используют цифровой паттерн (например, 4545), а 9% предпочитают паттерн на клавиатуре (например, 2684). В целом, злоумышленник с шестью попытками (три с банкоматом и три с платёжным терминалом) имеет меньше 2% шансов угадать PIN-код чужой карты.
| Фактор | Пример | RockYou | iPhone | Опрос |
|---|---|---|---|---|
| Даты | ||||
| ДДММ | 2311 | 5.26 | 1.38 | 3.07 |
| ДМГГ | 3876 | 9.26 | 6.46 | 5.54 |
| ММДД | 1123 | 10.00 | 9.35 | 3.66 |
| ММГГ | 0683 | 0.67 | 0.20 | 0.94 |
| ГГГГ | 1984 | 33.39 | 7.12 | 4.95 |
| Итого | 58.57 | 24.51 | 22.76 | |
| Клавиатурный паттерн | ||||
| смежные | 6351 | 1.52 | 4.99 | — |
| квадрат | 1425 | 0.01 | 0.58 | — |
| углы | 9713 | 0.19 | 1.06 | — |
| крест | 8246 | 0.17 | 0.88 | — |
| диагональная линия | 1590 | 0.10 | 1.36 | — |
| горизонтальная линия | 5987 | 0.34 | 1.42 | — |
| слово | 5683 | 0.70 | 8.39 | — |
| вертикальная линия | 8520 | 0.06 | 4.28 | — |
| Итого | 3.09 | 22.97 | 8.96 | |
| Цифровой паттерн | ||||
| заканчивается на 69 | 6869 | 0.35 | 0.57 | — |
| только цифры 0-3 | 2000 | 3.49 | 2.72 | — |
| только цифры 0-6 | 5155 | 4.66 | 5.96 | — |
| повторяющиеся пары | 2525 | 2.31 | 4.11 | — |
| одинаковые цифры | 6666 | 0.40 | 6.67 | — |
| убывающая последовательность | 3210 | 0.13 | 0.29 | — |
| возрастающая последовательность | 4567 | 3.83 | 4.52 | — |
| Итого | 15.16 | 24.85 | 4.60 | |
| Случайный набор цифр | 23.17 | 27.67 | 63.68 | |
Всё бы хорошо, но, к сожалению, существенная часть опрошенных (23%) выбирает PIN-код в виде даты, — и почти треть из них использует дату своего рождения. Это существенно меняет дело, ведь почти все (99%) респонденты ответили, что хранят в бумажнике с банковскими картами различные удостоверения личности, на которых эта дата напечатана. Если злоумышленник знает день рождения владельца карты, то при грамотном подходе вероятность угадывания PIN-кода взлетает до 9%.
В качестве решения авторы предлагают банкам запретить 100 самых популярных PIN-кодов, — в общем случае, это снизит вероятность угадывания до 0.2%.
Подобрать пароль в течение одной минуты
Что от вас просит система, когда вы включаете свой компьютер, разблокируете телефон, вставляете карту в банкомат, входите на страничку в соцсети? Система требует ваш пароль. Это этап защиты данных, за который отвечаем по большей степени мы сами. И чем сложнее пароль, тем сложнее его подобрать, а, следовательно, тем сложнее злоумышленнику заполучить ваши данные. Однако далеко не все пользователи подходят к созданию паролей со всей необходимой серьезностью.
К сожалению, многие до сих пор не знают и не понимают, насколько важно иметь сложный пароль. В наше время практически каждый имеет доступ к своим банковским счетам через интернет, доступы к различным сервисам, к кабинетам своего интернет провайдера и т.д. и т.п. Практически во всех местах, которые закрываются паролем хранится ваша личная информация, начиная от ФИО и заканчивая данными платежной карты.
Далеко не каждый сервис требует сложный пароль и поэтому часто человек не задумываясь вставляет в поле «Пароль» что-то совсем простое и хорошо запоминающееся. Мы настоятельно рекомендуем вам придумывать сложные пароли, которые не смогут взломать за считанные минуты.
Анекдотичные «дата рождения», «номер дома и квартиры», «имя любимого книжного персонажа» и т.д. очень долго были самыми распространенными паролями, но уж точно не самыми сложными.
Небольшое лирическое отступление. В культовом фильме начала двухтысячных «Рыба-меч» талантливому хакеру необходимо подобрать пароль в течение одной минуты. В фильме «Хранители» (2009 год) главные герои пробираются в офис злодея, чтобы заполучить информацию, но доступ к компьютеру защищен паролем. Что же делать? Все, оказывается, просто! Офис этот находится в здании корпорации «Пирамида», а на столе злодея рядом с его ПК стоят книги про Египет. Хакер начинает методом научного тыка подбирать пароль, но безрезультатно. Потом смотрит на те самые книги и видит «Ramesses II». Конечно же это и был пароль. Герои получают информацию, и сюжет движется дальше.
Прискорбно, но факт – у многих людей пароли именно такого уровня сложности. Чтобы придумать эффективную стратегию подбора паролей, хакеру надо постараться залезть в головы пользователей и администраторов. Однако есть проблема – человеческий фактор. Исследователи выяснили, что распространение сложных паролей тормозится самими пользователями. Многие считают, что такие пароли слишком сложны для запоминания. Хотя есть системы входа, которые «заставляют» пользователя создать пароль, соответствующий определенным требованиям: не менее 8 символов, минимум 1 заглавная буква, минимум 1 цифра и прочее. Однако, согласитесь, watson и Watson99 не так уж сильно отличаются.
Какие факторы влияют на наш выбор паролей?
Можно назвать, как минимум, следующие три:
Рассмотрим те вещи, которые нам легче всего запомнить:
1) То, что перед глазами. Перед нашим взором чаще всего предстают торговые марки мониторов, ноутбуков, компьютерных мышей и клавиатур, надписи «password».
3) То, что помнят пальцы:
В 2014-м году произошла большая утечка паролей Gmail, Yandex и Mail.ru. Списки паролей были проанализированы в статье Анализ утёкших паролей Gmail, Yandex и Mail.Ru и можно увидеть, что пользователи выбирают пароли именно по рассмотренной схеме.
Вот так выглядит топ-25 самых популярных паролей:
Какие ограничения парольной защиты влияют на выбор пользователей?
Чтобы обезопасить пользователей во многих системах разработчиками предусмотрен механизм парольной политики, который, к сожалению, не всегда используется. Типовые ограничения парольной политики:
Несколько советов
Придумать пароль длиной более 8 символов не представляет сложности, а вот использовать символы в различных регистрах – уже сложно, так как нужно помнить, для какого символа в своем пароле был выбран верхний регистр. Самое очевидное и вероятное решение: выбрать первый или последний символ. Но это очевидно и хакерам.
Программы генераторы паролей создают случайные комбинации из букв и цифр, например: cleft cam synod lacy yr wok. Их трудно расшифровать, но и трудно запомнить.
Легко запоминаются стихи. Но строка из стихотворения, как и любой другой осмысленный текст не является хорошим паролем, так как легко поддается расшифровке, несмотря на большое количество символов. Если же добавить в определенные места цифры (например, вместо второй буквы каждого слова), то взломать такой пароль сразу станет намного сложнее.
Использование спецсимволов сделает пароль гораздо надежнее, но надо иметь ввиду, что это не всегда возможно и даже такой простой вариант, как muha-sela-na-varen’e не пройдёт валидацию на многих сайтах.
Хороший метод – сокращать слова на несколько букв, сложность пароля при этом не уменьшится, а размер сократится.
Еще один хороший метод – создание мнемонической картинки. Любой процесс визуализации, особенно если визуализированный эквивалент фразы создается самим пользователем, позволит ему лучше запомнить пароль. Например, такое графическое представление фразы-пароля. Согласитесь, если вам показать только картинку, то сам пароль вы вряд ли сумеете воссоздать. Это возможно только для того, кто его знает.
Можно также воспользоваться программой менеджером паролей, она и пароль за вас придумает, и хранить его будет в зашифрованном виде.
Как подобрать код из 4 цифр
Несмотря на важную роль PIN-кодов в мировой инфраструктуре, до сих пор не проводилось академических исследований о том, как, собственно, люди выбирают PIN-коды.
Исследователи из университета Кембриджа Sören Preibusch и Ross Anderson исправили ситуацию, опубликовав первый в мире количественный анализ сложности угадывания 4-циферного банковского PIN-кода.
Используя данные об утечках паролей из небанковских источников и онлайн анкетирование, учёные выяснили, что к выбору PIN-кодов пользователи относятся гораздо серьёзнее, чем к выбору паролей для веб-сайтов: большинство кодов содержат практически случайный набор цифр. Тем не менее, среди исходных данных присутствуют и простые комбинации, и дни рождения, — то есть, при некотором везении злоумышленник может просто угадать заветный код.
Отправной точкой исследования был набор 4-циферных последовательностей в паролях из базы RockYou (1.7 млн), и базы из 200 тысяч PIN-кодов от программы блокировки экрана iPhone (базу предоставил разработчик приложения Daniel Amitay). В графиках, построенных по этим данным, проступают интересные закономерности — даты, года, повторяющиеся цифры, и даже PIN-коды, заканчивающиеся на 69. На основе этих наблюдений учёные построили линейную регрессионную модель, которая оценивает популярность каждого PIN-кода в зависимости от 25 факторов, — например, является ли код датой в формате ДДММ, является ли он возрастающей последовательностью, и так далее. Этим общим условиям соответствуют 79% и 93% PIN-кодов в каждом из наборов.
Итак, пользователи выбирают 4-циферные коды на основе всего нескольких простых факторов. Если бы так выбирались и банковские PIN-коды, 8-9% из них можно было бы угадать всего за три попытки! Но, конечно, к банковским кодам люди относятся гораздо внимательнее. Ввиду отсутствия сколько-нибудь большого набора настоящих банковских данных, исследователи опросили более 1300 человек, чтобы оценить, насколько реальные PIN-коды отличаются от уже рассмотренных. Учитывая специфику исследования, у респондентов спрашивали не о самих кодах, а только о их соответствии какому-либо из вышеназванных факторов (возрастание, формат ДДММ, и т.д.).
Оказалось, что люди действительно гораздо тщательнее выбирают банковские PIN-коды. Примерно четверть опрошенных используют случайный PIN, сгенерированный банком. Более трети выбирают свой PIN-код, используя старый номер телефона, номер студенческого билета, или другой набор цифр, который выглядит случайным. Согласно полученным результатам, 64% владельцев карт используют псевдослучайный PIN-код, — это гораздо больше, чем 23-27% в предыдущих экспериментах с не-банковскими кодами. Ещё 5% используют цифровой паттерн (например, 4545), а 9% предпочитают паттерн на клавиатуре (например, 2684). В целом, злоумышленник с шестью попытками (три с банкоматом и три с платёжным терминалом) имеет меньше 2% шансов угадать PIN-код чужой карты.
| Фактор | Пример | RockYou | iPhone | Опрос |
|---|---|---|---|---|
| Даты | ||||
| ДДММ | 2311 | 5.26 | 1.38 | 3.07 |
| ДМГГ | 3876 | 9.26 | 6.46 | 5.54 |
| ММДД | 1123 | 10.00 | 9.35 | 3.66 |
| ММГГ | 0683 | 0.67 | 0.20 | 0.94 |
| ГГГГ | 1984 | 33.39 | 7.12 | 4.95 |
| Итого | 58.57 | 24.51 | 22.76 | |
| Клавиатурный паттерн | ||||
| смежные | 6351 | 1.52 | 4.99 | — |
| квадрат | 1425 | 0.01 | 0.58 | — |
| углы | 9713 | 0.19 | 1.06 | — |
| крест | 8246 | 0.17 | 0.88 | — |
| диагональная линия | 1590 | 0.10 | 1.36 | — |
| горизонтальная линия | 5987 | 0.34 | 1.42 | — |
| слово | 5683 | 0.70 | 8.39 | — |
| вертикальная линия | 8520 | 0.06 | 4.28 | — |
| Итого | 3.09 | 22.97 | 8.96 | |
| Цифровой паттерн | ||||
| заканчивается на 69 | 6869 | 0.35 | 0.57 | — |
| только цифры 0-3 | 2000 | 3.49 | 2.72 | — |
| только цифры 0-6 | 5155 | 4.66 | 5.96 | — |
| повторяющиеся пары | 2525 | 2.31 | 4.11 | — |
| одинаковые цифры | 6666 | 0.40 | 6.67 | — |
| убывающая последовательность | 3210 | 0.13 | 0.29 | — |
| возрастающая последовательность | 4567 | 3.83 | 4.52 | — |
| Итого | 15.16 | 24.85 | 4.60 | |
| Случайный набор цифр | 23.17 | 27.67 | 63.68 | |
Всё бы хорошо, но, к сожалению, существенная часть опрошенных (23%) выбирает PIN-код в виде даты, — и почти треть из них использует дату своего рождения. Это существенно меняет дело, ведь почти все (99%) респонденты ответили, что хранят в бумажнике с банковскими картами различные удостоверения личности, на которых эта дата напечатана. Если злоумышленник знает день рождения владельца карты, то при грамотном подходе вероятность угадывания PIN-кода взлетает до 9%.
100 самых популярных PIN-кодов
0000, 0101-0103, 0110, 0111, 0123, 0202, 0303, 0404, 0505, 0606, 0707, 0808, 0909, 1010, 1101-1103, 1110-1112, 1123, 1201-1203, 1210-1212, 1234, 1956-2015, 2222, 2229, 2580, 3333, 4444, 5252, 5683, 6666, 7465, 7667.
P.S. На практике, разумеется, злоумышленнику гораздо проще подсмотреть ваш PIN-код, чем угадывать его. Но и от подглядывания можно защититься — даже, казалось бы, в безвыходном положении:
Описание алгоритма генерации под калькулятором.
Алгоритм
Комбинации генерируются в лексикографическом порядке. Алгоритм работает с порядковыми индексами элементов множества.
Рассмотрим алгоритм на примере.
Для простоты изложения рассмотрим множество из пяти элементов, индексы в котором начинаются с 1, а именно, 1 2 3 4 5.
Требуется сгенерировать все комбинации размера m = 3.
Сначала инициализуется первая комбинация заданного размера m — индексы в порядке возрастания
1 2 3
Далее проверяется последний элемент, т. е. i = 3. Если его значение меньше n — m + i, то он инкрементируется на 1.
1 2 4
Снова проверяется последний элемент, и опять он инкрементируется.
1 2 5
Теперь значение элемента равно максимально возможному: n — m + i = 5 — 3 + 3 = 5, проверяется предыдущий элемент с i = 2.
Если его значение меньше n — m + i, то он инкрементируется на 1, а для всех следующих за ним элементов значение приравнивается к значению предыдущего элемента плюс 1.
1 (2+1)3 (3+1)4 = 1 3 4
Далее снова идет проверка для i = 3.
1 3 5
Затем — проверка для i = 2.
1 4 5
Потом наступает очередь i = 1.
(1+1)2 (2+1)3 (3+1)4 = 2 3 4
И далее,
2 3 5
2 4 5
3 4 5 — последнее сочетание, так как все его элементы равны n — m + i.
Друзья! Раз уж есть у меня этот мертвый блокнот, использую-ка я его для того, чтобы задать вам задачку, над которой вчера билось три физика, два экономиста, один политеховский и один гуманитарий. Мы сломали себе весь мозг и у нас постоянно получаются разные результаты. Может быть, среди вас есть программисты и математические гении, к тому же, задачка вообще школьная и очень легкая, у нас просто не выводится формула. Потому что мы бросили занятия точными науками и вместо этого зачем-то пишем книги и рисуем картины. Простите.
Собственно, суть вопроса. Какова вероятность угадывания (в любом порядке) четырех чисел, содержащихся в четырехзначном числе?
Или еще конкретнее. Мне нужно четыре раза угадать одну цифру из десяти. Но не подряд.
Ну или еще как-нибудь. В общем, нужно узнать, сколько у меня было вариантов числовой комбинации, из которой складывался пин-код карточки. Помогите, люди добрые! Только, пожалуйста, помогая, не начинайте сразу писать, что вариантов этих 9999 (вчера такое всем приходило в голову поначалу), потому что это же глупости — ведь в том ракурсе, который нас волнует, число 1234, число 3421, число 4312 и так далее являются одним и тем же! Ну и да, цифры же могут повторяться, ведь бывает пин-код 1111 или там, например, 0007. Можно представить вместо пин-кода номер машины. Допустим, какова вероятность угадать все однозначные цифры, из которых складывается номер машины? Или, чтобы вообще убрать теорию вероятности — из скольких числовых комбинаций мне нужно было выбрать одну?
Пожалуйста, подкрепите свои ответы и рассуждения какими-нибудь точными формулами, потому что мы вчера и так чуть не свихнулись. Заранее всем большое спасибо!
Недавно мой хороший друг lan скинул мне шуточную новость. В заголовке новости было написано что-то типа:
“PIN-коды всех кредитных карт в мире похищены!”
Недавно мой хороший друг lan скинул мне шуточную новость. В заголовке новости было написано что-то типа:
“PIN-коды всех кредитных карт в мире похищены!”
В самой же новости было просто перечислены украденные PIN-коды: 0000 0001 0002 0003 0004…
Новость lan’а рассмешила меня. В этот же день, но чуть позже, я прочитал вот этот комикс на XKCD. После прочтения двух забавных историй у меня и появилась идея написать статью.
− Зацени мой номерной знак!
− Никто не сможет правильно запомнить номер моей машины! Я могу совершить любое преступление, какое только захочу!
− Номер машины вора вроде бы полностью состоял из ‘1’.
− А! Так это тот самый парень!
− Его адрес записан в блокноте, который лежит в патрульной машине.
Какой PIN-код встречается реже всего?
Всего из 10 цифр можно составить 10 000 различных четырехзначных PIN-кодов. Из этих десяти тысяч, какие PIN-коды встречаются реже всего?
Какой из 10 000 PIN-кодов люди используют реже всего?
Какой из 10 000 PIN-кодов люди используют чаще всего?
Если бы перед вами стояла задача найти PIN-код кредитной карточки за кратчайшее время, то в каком порядке вы бы перебирали все возможные PIN-коды?
Если бы вас спросили, какой четырехзначный PIN-код встречается реже всего, то что бы вы ответили?
Все эти вопросы тесно связаны с вышеупомянутым комиксом с XKCD. В комиксе план преступника провалился, потому что его номерной знак был слишком уникальным и, как следствие, слишком запоминающимся. Какой номерной знак запоминается тяжелее всего? Спросите любого знакомого шпиона J, как лучше всего затеряться в толпе? Ответ будет вполне ожидаемым: быть “нормальным” и ничем не выделяться.
Всем известно, что людям плохо удается придумывать случайные пароли. Я надеюсь, что после прочтения статьи вы станете чуточку аккуратнее выбирать ваш следующий PIN-код.
Вам все еще интересно, какой PIN-код встречается реже всего?
А какой самый популярный?
Если да, то читайте дальше…
Настоящая статья не является библией хакеров и не предназначена для использования в качестве средства, инструмента или источника информации для потенциальных воров в их грязных делишках. Информации, которую я раскрою, будет достаточно только для подтверждения моей точки зрения и для примеров. Я не хочу, чтоб моей информацией воспользовались скрипт-кидди. Пожалуйста, не тратьте свое время и не спрашивайте у меня, какую именно базу данных я использовал, я вам все равно не отвечу. И я не собираюсь продавать, дарить или публиковать исходные данные – даже не просите!
Доступа к базе данных PIN-кодов кредитных карт у меня, конечно же, нет. Я пойду немного по другому пути. Источником будут служить данные из опубликованных/раскрытых таблиц паролей и из других утечек баз данных.
Утечки баз данных с паролями
За последнее время было найдено множество уязвимостей безопасности в базах данных с паролями: некоторые уязвимости получили широкую огласку, другие – не очень. Но у всех утечек есть одна общая черта: за них пришлось заплатить высокую цену, складывающуюся как из непосредственных штрафов, так и из косвенных убытков, связанных с ухудшением репутации фирмы.
Лично я не позволю обвести меня вокруг пальца даже один раз, не говоря уж о двух… Скажу даже больше: любой разработчик, пароли которого хранятся в базе данных незашифрованными, не имеет права спать спокойно, пока он не исправит это чудовищное недоразумение. Более того, вы просто обязаны учиться на чужих ошибках и не допускать, чтобы обнаруженная уязвимость не была обнаружена еще один раз у вас.
Если вы, как работник компании, знаете, что к защите базы данных с паролями ваших клиентов подошли поверхностно, тогда идите, а лучше бегите к вашему начальству, изо всех сил колотите в дверь кулаками и настаивайте, чтобы уязвимость была исправлена как можно быстрее. Не ждите, пока не станет уже слишком поздно. Стойте на своем. Будьте приставучими, как репей.
Сейчас я не пытаюсь разрекламировать себя, как консультанта (хотя мои услуги достаточно недорогие по сравнению со стоимостью адвокатской защиты, коллективного иска, штрафов и санкции, оттока капитала и удара по репутации). Найти хорошего специалиста по безопасности, который поможет вам, сейчас не проблема (если вы не знаете, откуда копать, то я бы посоветовал вам начать со специалистов CISSP).
Вывод: защита должна быть многоуровневой. И простое шифрование таблицы с паролями пользователей позволит защитить ваших клиентов, даже если база утечет. Шифрование не защищает от всех возможных атак, но и вреда оно тоже не приносит. Какой тогда смысл хранить пароли незашифрованными?
Вернемся к выборке
Из всех баз данных с паролями учетных записей я выбрал только те записи, в которых пароль пользователя состоял из 4 цифр 5. Результаты выборки были объединены в отдельную базу данных четырехзначных паролей.
Отсюда и далее мы будем считать, что четырехзначные пароли и PIN-коды это суть одно и то же.
Мне удалось найти около 3,4 миллиона четырехзначных паролей. Каждый из паролей представляет собой комбинацию из 4 цифр от 0000 до 9999.
Самый популярный пароль: 1234…
…просто поразительно, насколько популярен такой пароль. А что еще поразительнее, так это нехватка воображения у людей его выбирающих…
… 1234 составляет около 11% от 3,4 миллиона всех паролей.
Следующий по популярности четырехзначный пароль – 1111, около 6% от всей выборки.
Третье место занимает пароль 0000 с 2%.
Xakep #246. Учиться, учиться, учиться!
Не секрет, что пользователи выбирают числовые пароли, используя характерные паттерны. В случае четырёхзначного PIN-кода очень часто указывается день рождения или год рождения.
До настоящего момента все исследования в этой области были фрагментарными, на основе относительно небольших выборок данных. Американская компания Data Genetics несколько дней назад опубликовала наиболее полный и масштабный статистический анализ PIN-кодов, использовав все доступные базы данных с паролями и отфильтровав их по цифровым комбинациям от 0000 до 9999. Общая база после применения фильтра составила 3,4 миллиона PIN-кодов.
Анализ позволил выявить несколько интересных фактов. Самым популярным PIN-кодом является 1234, его устанавливают почти 11% пользователей. На втором месте идёт 1111 (6%).
Двадцатка самых популярных комбинаций покрывает 26,83% всех паролей, хотя при нормальном статистическом распределении она составляла бы всего 0,2%. На следующей диаграмме показана кумулятивная частотность использования паролей.
Интересно также посмотреть на список самых редких PIN-кодов по всей базе.
