2505909

Diese PIN-Codes sind am iPhone oder iPad Tabu

10.05.2020 | 08:27 Uhr | Stephan Wiesend

Vergibt man unter iOS PIN-Codes, werden Zahlen wie „1234“ bemängelt. Eine aktuelle Studie recherchierte die komplette Liste der verbotenen Codes und prüft die Sicherheit des Systems.

Die Daten auf einem iPhone sind oft sehr sensibel, werden aber oft nur durch einen leicht zu erratenden Pin-Code wie „1234“ geschützt. Wählt man unter iOS ein neues Passwort, wird man von dem System deshalb gewarnt, falls man ein besonders schwaches Kennwort gewählt hat. Diese Kennwörter sind nicht komplett gesperrt: Man kann sie trotz Warnung verwenden, sollte sich dies aber gut überlegen.

Sicherheitsforscher aus drei Universitäten (Philipp Markert, Daniel V. Bailey, Maximilian Golla, Markus Dürmuth und Adam J. Aviv 
Ruhr University Bochum & Max Planck Institute for Security and Privacy & The George Washington University) haben sich dieses Blacklist-System jetzt näher angesehen und dazu als unter anderem eine komplette Liste dieser gesperrten Codes ausgelesen. Der Aufwand war hoch, so wurden zurückgesetzte iPhones per Raspberry Pi gesteuert und die Passwörter per Brute-Force-Attack eruiert: Die Forscher gaben dazu per USB-Tastatur alle Passwort-Kombinationen ein und erfassten per Kamera die gesperrten Versuche. Der Trick dabei: Bei einem komplett zurückgesetzten iPhone kann man bei der Erstanmeldung immer neue Passwortkombinationen ausprobieren, ohne dass das Gerät automatisch gesperrt wird.

iOS warnt vor zu einfachen Codes.
Vergrößern iOS warnt vor zu einfachen Codes.

Was ist gesperrt?

Die Regeln, die Apple verwendet, sind eigentlich recht einfach: Bei den vierstelligen Passwörtern sind es 274 der insgesamt 10 000 Pins. Verboten sind bekannte „Common Pins“ wie „1234“ aber auch die Jahreszahlen 1956 bis 2015 – meist wohl das Geburtsjahr. Bestimmte Ziffernfolgen sind ebenfalls verboten: „aaaa“ (wie 1111) aber auch „abab“ und „aabb“.

Gesammelt wurden die Passwörter über die automatische Eingabe neuer Passwörter.
Vergrößern Gesammelt wurden die Passwörter über die automatische Eingabe neuer Passwörter.

Aufwendiger war die Suche nach den insgesamt 2910 sechsstelligen Code, diese dauerte 30 Tage. Neben bekannten Kennwörtern gehören dazu aufsteigende und absteigende Zahlen wie „543210“ aber auch wieder Ziffernfolgen wie „aaaaaa“ „abcabc“ und „abccba“ (wie 123321).

Sind Blacklists sinnvoll?

Die Ergebnislisten wurden veröffentlicht, über weitere Tests versuchten die Forscher aber ebenfalls herauszufinden, ob diese Blacklists überhaupt sinnvoll sind: Ob etwa eine relativ kleine Verbotsliste die Sicherheit verbessert oder eine zu große Liste nicht die Nutzer verärgern würde. So reagieren etwa laut der Studie nur die Hälfte der Nutzer auf die Warnung und ändern wirklich das Passwort. Ein weiteres interessantes Ergebnis aus der Studie ist etwa, dass eine Pin mit sechs Ziffern unter Umständen sogar leichter zu erraten ist: Viele Anwender nutzten für einen sechsstelligen Code nämlich besonders simple Pins und sich wiederholende Zeichenfolgen – beispielsweise 123456 oder das durch Kanye West berüchtigte 000000.

Für iOS wird eine Blacklist sogar als unnötig angesehen, da einem Angreifer nur zehn Eingabeversuche zur Verfügung stünden. Anders bei Android, bei dem 100 Versuche möglich sind, hier würde eine Blacklist sinnvoll sein, müsste aber mindestens 10 Prozent der Pins ausschließen.

Macwelt Marktplatz

2505909