近日，波鴻魯爾大學(xué)、馬克斯普朗克研究所和華盛頓大學(xué)的安全專(zhuān)家對iPhone手機的PIN安全性以及其如何受到黑名單機制影響進(jìn)行了研究，結果讓人吃驚：

研究者制作了一個(gè)載有攝像頭的樹(shù)莓派樂(lè )高機器人裝置（上圖），可以模擬連接到iPhone的USB鍵盤(pán)，從而通過(guò)暴力方式快速測試出iPhone自帶的PIN黑名單（如果你在設置新手機時(shí)選擇了黑名單中的PIN碼，iPhone會(huì )彈出警告窗口：此PIN容易被猜中）。

在研究論文中，研究者提供了對智能手機上收集的用戶(hù)4位和6位PIN碼（n=1220）進(jìn)行的首次全面研究，其中四位PIN碼樣本來(lái)自2011年的Amitay-4應用（204432個(gè)），而六位PIN碼則來(lái)自RockYou的密碼泄露（2758490個(gè)）。結果發(fā)現，使用6位PIN而不是4位PIN只能提供很少的安全性，甚至可能降低安全性。

研究者還研究了蘋(píng)果黑名單的影響，iOS設備使用了兩個(gè)黑名單，其中4位PIN黑名單包含274個(gè)PIN，6位PIN黑名單包含2910個(gè)PIN。研究者通過(guò)上述暴力裝置提取了兩個(gè)黑名單，并將它們與其他四個(gè)黑名單進(jìn)行了比較，包括一個(gè)小的4位PIN黑名單（27個(gè)PIN），一個(gè)大的4位PIN黑名單（2740 PIN）以及兩個(gè)分別用于排除4位和6位PIN的安慰劑黑名單。

結果發(fā)現，iOS目前使用的相對較小的黑名單對于受限猜測攻擊幾乎沒(méi)有好處。僅在黑名單大的多時(shí)才能觀(guān)察到安全性提高，而這又以增加用戶(hù)的沮喪感為代價(jià)。研究分析表明，大約占PIN空間10％的黑名單可能會(huì )在可用性和安全性之間達到最佳平衡。

手機PIN碼安全性研究論文地址：

https://arxiv.org/pdf/2003.04868