Seznam PINů, které byste měli okamžitě změnit: Proč je 1234 jako otevřené dveře pro zloděje

Čtyřmístný kód 1234 používá každý desátý člověk. Bezpečnostní analytici roky varují, že naše předvídatelnost je pro útočníky darem – a čísla jim stále dávají za pravdu.

Když bezpečnostní firma DataGenetics v roce 2012 publikovala analýzu milionů uniklých PINů, výsledky byly alarmující. O více než deset let později se situace prakticky nezměnila – lidé si stále volí stejné snadno uhodnutelné kombinace. Trojice 1234, 1111 a 0000 tvoří téměř pětinu všech používaných kódů. Pro útočníka to znamená, že má slušnou šanci trefit se hned napoprvé.

Kompletní seznam nejrizikovějších PINů vypadá takto: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222 a 6969. Proč právě tato čísla? Většinou jde o přednastavené kódy, které si uživatelé nikdy nezměnili, nebo o data spojená s narozeninami a výročími. Rok narození 1985? První PIN, který zkušený zloděj vyzkouší.

Jak rychle lze PIN prolomit

Matematika je nemilosrdná. Čtyřmístný číselný PIN nabízí pouhých 10 000 kombinací. Bez jakéhokoli omezení ze strany systému dokáže běžný počítač vyzkoušet všechny varianty v řádu milisekund. I když většina bankomatů a aplikací po třech neúspěšných pokusech účet zablokuje, problém nastává jinde – při velkých únicích dat získávají útočníci přístup k zašifrovaným hashům PINů a mohou je prolomovat offline, bez jakýchkoli omezení.

Vedle technických útoků existují i ty lidské. Takzvaný shoulder surfing – okouknutí kódu přes rameno u bankomatu – je stále překvapivě účinný. A sociální inženýrství? Stačí prolistovat něčí Facebook, zjistit datum narození partnera nebo rok svatby, a máte solidní výchozí bod pro tipování.

Délka mění všechno

Rozdíl mezi čtyř- a šestimístným PINem není dvojnásobný, ale stonásobný. Šest číslic znamená milion kombinací místo deseti tisíc. A pokud systém umožňuje alfanumerické kódy – kombinaci číslic a písmen – dostáváme se do úplně jiné ligy. Šestimístný kód s číslicemi a písmeny může mít desítky miliard kombinací. To je rozdíl mezi prolomením za vteřinu a útokem, který by trval staletí.

Bezpečnostní autority jako americký NIST nebo evropská ENISA proto doporučují minimálně šestimístné PINy, zákaz očividných sekvencí a implementaci takzvaného blacklistingu – systému, který uživateli nedovolí zvolit si PIN z „černé listiny

Jenže nejlepší technologie jsou k ničemu, pokud si člověk dobrovolně zvolí 0000. A přesně to se děje. Výzkum za výzkumem potvrzují, že lidské chování v oblasti digitální bezpečnosti se prakticky nemění. Jsme tvorové zvyku a pohodlí – a útočníci to dobře vědí.

Kontext rozhoduje o riziku

Není PIN jako PIN. Slabý kód k platební kartě může znamenat ztrátu celoživotních úspor. Kompromitovaný telefon otevírá dveře k e-mailům, bankovním aplikacím, fotografiím i sociálním sítím – v podstatě k celé digitální identitě. Naproti tomu PIN k chytré lednici se může zdát jako maličkost, jenže i IoT zařízení bývají vstupní branou do domácí sítě.

Změna slabého PINu zabere minutu. Řešení následků jeho zneužití může trvat měsíce. Bezpečnostní experti roky opakují totéž: vytvořte si kód, který není spojený s žádným datem ve vašem životě, neobsahuje opakující se číslice ani jednoduché sekvence. A pokud to systém umožňuje, přidejte písmena.

Digitální bezpečnost není jen o sofistikovaných hackerských útocích a státem sponzorovaných skupinách. Často jde o to, jestli si člověk zvolí 1234, nebo něco, co útočník neuhodne ani na stý pokus. Ta volba je překvapivě jednoduchá – a překvapivě málo lidí ji dělá správně.