Odgadnąć kod PIN twojej karty bankomatowej? Jakie to proste

18.09.2012
Odgadnąć kod PIN twojej karty bankomatowej? Jakie to proste

Czterocyfrowe zabezpieczenie naszych kart płatniczych oraz kredytowych nie należy do najbardziej bezpiecznych. Możliwych kombinacji czterocyfrowego kodu jest zaledwie 10 tys., co dla najprostszego programu napisanego pod atak typu brute force nie stanowi żadnego problemu. Gorsze jest jednak to, że sami ułatwiamy sprawę przejęcia kontroli nad naszymi kartami ustanawiając na nich proste do odgadnięcia kody PIN.

W demaskowaniu zastanawiających – łagodnie mówiąc – zachowań użytkowników przeróżnych usług online’owych, w których korzysta się z haseł, specjalizuje się w Polsce serwis Niebezpiecznik. Nie znalazłem tam jednak danych na temat tego, jak prezentuje się lista najpopularniejszych kodów PIN do kart bankomatowych (przynajmniej nie ma tego pod tagiem PIN). Dotarłem natomiast wczoraj do bardzo ciekawego wpisu na takim zachodnim Niebezpieczniku – DataGenetics.

Jego autor – podobnie jak Piotrek Konieczny z Niebezpiecznika, specjalista od zabezpieczeń oferujący swoje usługi jako konsultant ds. bezpieczeństwa – dotarł do 3,4 mln haseł PIN kart kredytowych, po czym wrzucił je na swój warsztat analityczny. Jak się okazało, użytkownicy kart bankomatowych podchodzą do kodów PIN podobnie jak użytkownicy usług online’owych do haseł do swoich kont.

Prawie 11% z 3,4 mln kart zabezpieczonych kodem PIN miało najprostszą z możliwych kombinację: 1234. Jeśli dobrze liczę to aż 374 tys.! Na drugim miejscu najpopularniejszych kodów PIN w kartach bankomatowych jest – jakże oczywiste – 1111. To aż 6% (204 tys.). Trzecim najpopularniejszym kodem PIN jest 0000 – obecny na prawie 2% kart. Czyli, nie używając żadnego narzędzia hackerskiego, przy standardowych trzech próbach podania kodu PIN dowolnej karty bankomatowej mamy aż 19% szans, że trafimy!

Pierwsza dwudziestka najpopularniejszych kodów PIN jest następująca:

Jak widać, dominują na niej banalnie proste hasła – kombinacje albo jednej i tej samej cyfry, albo kombinacja dwóch, bądź też logiczny ciąg (np. 4321).

A jaka jest dwudziestka najmniej popularnych kodów PIN?

Oczywiście dominują w niej totalnie przypadkowe ciągi liczb. Na samym końcu znajduje się kod 8068, który został użyty w zaledwie 0,000744% z 3,4 mln kart, do których dotarł specjalista z DataGenetics. Nie radziłbym jednak nerwowo zmieniać hasła PIN w swoich kartach akurat na ten numer.. 😉

Czasami użytkownicy kart, którym wydaje się, że są nieco bardziej świadomi tego, że kod 1234 może być łatwo odgadnięty próbują być sprytni i… decydują się na kody PIN, które odpowiadają dacie ich urodzin (bądź też ich najbliższych). DataGenetics ma dla nich złą wiadomość. Kodów PIN zaczynających się od kombinacji 19 jest statystycznie najwięcej.

Specjalista z DataGenetics dotarł także do 7 milionów innych haseł numerycznych, które składają się z powyżej 4 cyfr – od 5 do 10. W każdym bez wyjątku przypadku kombinacje 12345+ są najpopularniejsze. W przypadku kodów 9-cyfrowych aż 35% wszystkich osób decyduje się na najprostsze z możliwych haseł, czyli 123456789. Lekko przerażające.

Przerażające choćby w kontekście tego, że są jeszcze sytuacje, w których to usługodawcy stosują zabezpieczenia oparte jedynie na cyfrach. Jak donosi zupełnie ktoś inny – klient Virgin Mobile w USA, Kevin Burke – jego operator mobilny stosuje zabezpieczenia kont PIN tylko i wyłącznie oparte na cyfrach. Wprawdzie niemożliwe jest podawanie trzycyfrowej sekwencji cyfr w postaci 234 ani też sekwencji trzech takich samych cyfr, np. 222, ale i tak szybki rzut oka na dane z DataGenetics sugeruje, że odgadnąć hasło konta Virgin Mobile USA wcale nie jest tak trudno. Nie mówiąc o tym, że możliwych haseł zabezpieczających jest w tym przypadku zaledwie 1 milion!

Uspakajamy klientów polskiego oddziału Virgin Mobile. Sprawdziliśmy i w Polsce hasło musi się składać z kombinacji cyfr i liter o różnej wielkości. W przypadku hasła 8-cyfrowego różnych jego kombinacji – cytując wyliczenia Kevina Burke’a – jest już 218 340 105 584 896.

Musisz przeczytać:

Dołącz do dyskusji

MAŁO? CZYTAJ KOLEJNY WPIS...

MAŁO? CZYTAJ KOLEJNY WPIS...

Advertisement