iPhone的 6位数PIN码可被轻松破解

近日，波鸿鲁尔大学、马克斯普朗克研究所和华盛顿大学的安全专家对iPhone手机的PIN安全性以及其如何受到黑名单机制影响进行了研究，结果让人吃惊：研究结果表明，较长的六位数PIN相比四位PIN安全性并没有得到多少增强，有时甚至会降低强度。

研究者制作了一个载有摄像头的树莓派乐高机器人装置（上图），可以模拟连接到iPhone的USB键盘，从而通过暴力方式快速测试出iPhone自带的PIN黑名单（如果你在设置新手机时选择了黑名单中的PIN码，iPhone会弹出警告窗口：此PIN容易被猜中）。

在研究论文中，研究者提供了对智能手机上收集的用户4位和6位PIN码（n=1220）进行的首次全面研究，其中四位PIN码样本来自2011年的Amitay-4应用（204432个），而六位PIN码则来自RockYou的密码泄露（2758490个）。结果发现，使用6位PIN而不是4位PIN只能提供很少的安全性，甚至可能降低安全性。

研究者还研究了苹果黑名单的影响，iOS设备使用了两个黑名单，其中4位PIN黑名单包含274个PIN，6位PIN黑名单包含2910个PIN。研究者通过上述暴力装置提取了两个黑名单，并将它们与其他四个黑名单进行了比较，包括一个小的4位PIN黑名单（27个PIN），一个大的4位PIN黑名单（2740 PIN）以及两个分别用于排除4位和6位PIN的安慰剂黑名单。

结果发现，iOS目前使用的相对较小的黑名单对于受限猜测攻击几乎没有好处。仅在黑名单大的多时才能观察到安全性提高，而这又以增加用户的沮丧感为代价。研究分析表明，大约占PIN空间10％的黑名单可能会在可用性和安全性之间达到最佳平衡。

手机PIN码安全性研究论文地址：

https://arxiv.org/pdf/2003.04868