Seznam PINů, které hackeři prolomí do 10 vteřin. Používá je 50 % Čechů
Když jsem poprvé narazil na údaj, že PIN lze prolomit za deset sekund, znělo to jako typická clickbaitová přehánka. Jenže čím víc jsem se do tématu nořil, tím víc mi docházelo, že realita je složitější – a v jistém smyslu znepokojivější – než jednoduchý titulek naznačuje.
Nejde o bankomat, jde o databáze
Důležité je pochopit, o jakém scénáři se vlastně bavíme. Nikdo vám neprolomí PIN přímo u bankomatu za deset sekund. Tam máte tři pokusy a konec. Problém nastává jinde – v momentě, kdy útočník získá přístup k databázi nějakého systému, který váš PIN ukládá. Může jít o parkovací aplikaci, věrnostní program, menší e-shop nebo v nejhorším případě o službu, která měla vaše data chránit lépe.
V takové databázi by PIN neměl být uložen v čitelné podobě, ale jako takzvaný hash – kryptografický otisk. Jenže tady přichází háček. Pokud systém používá zastaralé nebo nedostatečné zabezpečení, útočník může tento hash porovnávat s předpočítanými kombinacemi. A pro čtyřmístný PIN existuje pouze 10 000 možných kombinací. S moderní grafickou kartou? Otázka sekund.
Proč zrovna deset sekund
Ta číslovka není vytažená z klobouku. Dnešní výkonné počítače, zejména ty vybavené herními grafickými kartami, dokážou testovat miliony až miliardy hashů za vteřinu. Když si představíte, že čtyřmístný PIN má jen deset tisíc variant, je jasné, že při offline útoku na špatně zabezpečenou databázi jde o triviální úlohu.
Samozřejmě – pokud firma používá moderní hašovací algoritmy jako Argon2, bcrypt nebo scrypt, situace se dramaticky mění. Tyto algoritmy jsou záměrně pomalé a každý pokus o prolomení trvá mnohem déle. Přidejte k tomu takzvané „solení
– náhodný řetězec přidaný k PINu před hašováním – a hromadné prolomení se stává prakticky nemožným. Jenže ne všechny systémy tyto standardy dodržují.
Co prozrazují úniky dat
Bezpečnostní experti roky analyzují uniklé databáze hesel a PINů. Výsledky jsou překvapivě konzistentní napříč zeměmi a kulturami. Nejčastější PINy jsou stále 1234, 0000, 1111, 1212 nebo 2580 (střední sloupec na numerické klávesnici). Oblíbená jsou také data narození a výročí.
Globální studie naznačují, že až polovina uživatelů volí předvídatelné kombinace. Není důvod se domnívat, že Češi jsou v tomto ohledu výjimkou. A právě tady se potkává technická zranitelnost s lidským faktorem – i kdyby systém byl zabezpečený perfektně, PIN 1234 útočník zkusí jako jeden z prvních.
Šestimístný PIN jako jednoduchá pojistka
Každá další číslice v PINu násobí počet kombinací desetkrát. Čtyřmístný PIN znamená 10 000 možností. Šestimístný už milion. To je stonásobný rozdíl, který může proměnit sekundy v hodiny nebo dny – i při offline útoku.
Tam, kde to systém umožňuje, se vyplatí delší PIN zvolit. A pokud ne, alespoň se vyhnout těm nejpředvídatelnějším kombinacím. Žádné sekvence, žádná opakování, žádná data narození.
Co by měly dělat firmy
Odpovědnost samozřejmě neleží jen na uživatelích. Poskytovatelé služeb by měli používat moderní hašovací algoritmy, omezovat počet pokusů o přihlášení, implementovat dvoufaktorové ověření a ideálně blokovat nejčastější PINy už při jejich vytváření.
Realita je taková, že ne všechny firmy tyto standardy dodržují. Menší aplikace a služby často šetří na bezpečnosti, aniž by o tom uživatel věděl. Proto má smysl přemýšlet o tom, kde všude svůj PIN používáte – a zda tam opravdu musí být stejný jako k bankovnímu účtu.
Zamyšlení na závěr
Deset sekund je reálné číslo, ale jen za specifických podmínek – špatně zabezpečená databáze, slabý PIN, moderní hardware na straně útočníka. Není to důvod k panice, ale k zamyšlení. Digitální bezpečnost není jen o tom, co dělají banky a firmy. Je to i o tom, jaké kombinace si volíme my sami – a jak moc si uvědomujeme, že čtyři číslice jsou někdy zoufale málo.
