Специалисты с компьютерной кафедры Кембриджского университета опубликовали первое в мире исследование (PDF) математической вероятности подбора четырёхсимвольного числового пин-кода, который устанавливается самим пользователем. Несмотря на повсеместную распространённость таких пин-кодов, до сих пор не было ни одного серьёзного научного исследования их безопасности.
В качестве информационной базы исследователи взяли 200 000 пин-кодов iPhone, а также все комбинации из четырёх цифр, которые встречаются среди 1,7 млн паролей RockYou, полученных после взлома сервиса. Применив математический аппарат, была построена модель для оценки вероятности связи каждого пин-кода с одним из 25 шаблонов, включая дату в формате DDMM, год рождения и т.д.
Специалисты отмечают, что к выбору банковских пин-кодов люди относятся более ответственно и в 63,7% случаев используют псевдослучайные числа, не связанные с датой рождения. Однако, 23% пользователей выбирают дату, и каждый третий из них — дату своего рождения. Таким образом, даже для банковских пин-кодов, как показывает модель, около 8% пин-кодов можно угадать с первого раза, если знать дату рождения владельца.
По информации авторов исследования, сейчас некоторые банки используют «чёрный список» из сотни запрещённых пин-кодов, таких как 1111 и 1234, в целом это значительно повышает случайность выборки, но если учитывать дату рождения пользователя, то эффективность «чёрного списка» практически сводится на нет. Таким образом, банкам рекомендуется занести в «чёрный список» также и все даты рождения.
Самыми частоиспользуемыми и популярными пин-кодами в итоге стали такие комбинации, которые удобно расположены на клавиатуре (1937, 1973) и парные комбинации (1919, 2020).
