Si fa un gran parlare di passkey come misura che in ottica futura potrà sostituire le password; si ricorda spesso, d’altra parte, l’importanza di scegliere e creare password sicure, in grado di resistere ad attacchi brute force e alle aggressioni basate sul dizionario. Eppure, in tanti ambiti si continuano a utilizzare PIN numerici composti da sole 4 cifre. Incredibile ma vero.
Anche una password da 8 caratteri contenente lettere maiuscole e minuscole è considerata ormai insicura. Lo spieghiamo nell’articolo in cui vediamo quanto tempo ci vuole per violare una password, nel 2024. Eppure, le combinazioni possibili sono in questo caso nk dove n è il numero di caratteri disponibili (26 lettere maiuscole + 26 lettere minuscole) e k è la lunghezza della password (528 = 53,5 milioni, circa).
Nel caso di un PIN a 4 cifre, le combinazioni possibili sono, banalmente, soltanto 10.000 (104, se si vuole utilizzare la notazione vista in precedenza): da 0000 a 9999.
PIN a quattro cifre purtroppo ancora molto popolari
Come emerso a valle di una serie di data breach venuti a galla nel corso del tempo, gli utenti continuano purtroppo a usare PIN a 4 cifre per proteggere i dispositivi e i servizi che utilizzano abitualmente. Anche in ottica passkey, ha senso appoggiarsi a un meccanismo che sfrutta la crittografia a chiave pubblica (asimmetrica) se poi l’autorizzazione dell’utente è concessa con un semplice PIN a 4 cifre? Probabilmente no.
È vero che, nella stragrande maggioranza dei casi, quando un utente digita un PIN errato si attiva un meccanismo di protezione che invita l’utente a osservare un periodo di attesa (e talvolta a digitare una stringa arbitraria) prima di effettuare nuovi tentativi. Il blocco per tentativi falliti riduce il numero di prove effettuabili in sequenza, scongiurando gli attacchi brute force. D’altra parte, provare tutti i PIN da 0000 a 9999 sarebbe cosa piuttosto semplice e veloce.
Una volta che il numero massimo di tentativi errati viene superato, il dispositivo può bloccarsi temporaneamente o richiedere un reset da parte di un utente autorizzato o dell’amministratore.
Non sempre, però, le cose stanno in questi termini e alcuni aggressori possono riuscire a superare la restrizione di accesso imposta con un semplice PIN a 4 cifre.
Ecco i PIN più usati in assoluto
Anche il PIN di Windows Hello può essere impostato con una sequenza di cifre compresa tra 4 e 127 caratteri (come misura opzionale, si può attivare anche l’uso di caratteri alfanumerici). Ma tanti utenti usano PIN a 4 cifre per sbloccare dispositivi mobili, device crittografici, serrature, sistemi d’allarme e così via. Vuoi mettere la comodità di usare un PIN facilissimo da ricordare?
Quello che è facile da ricordare, tuttavia, è anche semplice da indovinare. Ed è per questo motivo che i PIN a 4 cifre dovrebbero essere abbandonati al più presto, a ogni livello.
La realtà, tuttavia, è ben diversa. Guardate questa sorta di heatmap: i colori più chiari, tenenti al bianco, evidenziano le combinazioni di cifre più comuni nei PIN; quelli più scuri indicano i PIN in assoluto meno utilizzati. Per analizzare i dati sono stati presi in esame circa 3,4 milioni di PIN, frutto di diversi data breach online.
Quello che emerge in modo palese è che la maggior parte degli utenti utilizza la data di nascita come PIN nei formati GG/MM e MM/GG. Come si vede, infatti, l’area del grafico all’interno della quale si concentrano i PIN più “gettonati” è proprio quella con le cifre da 01 a 31 come prima o seconda coppia (first two digits e second two digits).
Gli immarcescibili PIN 1234
e 0000
restano i PIN più usati in assoluto, in qualunque prodotto o servizio. Il PIN 0000
è ad esempio il numero impostato di default sulla maggioranza dei TV.
Il PIN meno utilizzato in assoluto, sarebbe 8068
. Cosa confermata prendendo come riferimento anche questo dataset. In ogni caso, sequenze numeriche e schemi che seguono la dislocazione dei numeri sui tastierini telefonici restano purtroppo estremamente comuni. Ancora oggi.