PIN-Codes, kinderleicht zu knacken

Viele wählen für ihre PIN-Codes einfache Kombinationen – mit vielleicht bösen Folgen. Mit nur 20 Versuchen kann man ein Viertel aller Codes knacken. Deshalb: Ändern Sie ihn, falls Sie Ihren im folgenden Text finden.

Damit kein Fremder das Konto plündern kann, sollte man sich beim PIN schon etwas mehr einfallen lassen als das die meisten tun. (Bild: Keystone/Martin Ruetschi)

Viele wählen für ihre PIN-Codes einfache Kombinationen – mit vielleicht bösen Folgen. Mit nur 20 Versuchen kann man ein Viertel aller Codes knacken. Deshalb: Ändern Sie ihn, falls Sie Ihren im folgenden Text finden.

Der IT-Security-Experte Nick Berry hat sich 3,4 Millionen PIN-Nummern vorgenommen. Er hat sich nicht einmal selbst hacken müssen, er konnte sie ohne grossen Aufwand aus frei zugänglichen Hackerdatenbanken ziehen. Weil es so einfach war an eine solche Datenfülle zu kommen, hat Berry sich hingesetzt und angesehen, ob manche PINs besonders häufig auftauchen.

Und es zeigte sich: Die Fantasie der Menschen ist auffallend beschränkt. Kein Wunder, Zahlen merken ist nicht die Lieblingsdisziplin des menschlichen Hirns. Die häufigste PIN, und vielleicht auch Ihre ist «1234» mit elf Prozent. Auf Platz zwei mit 6 Prozent liegt 1111. Auch wenn Sie 0000, 1212 oder 7777 gewählt haben, sind Sie in den Top five. Wer diese Zahlen eintippt, hat ein Fünftel aller Codes geknackt. Weniger Aufwand geht kaum, dafür braucht es kein Computerprogramm.

Die Top 20 sind von sämtlichen Vierfachwiederholungen derselben Zahl und vermeintlich «trickreichen» Abwandlungen wie 6969 (Platz 10) belegt. 2001 (alles treue Fans des Films?) und 1010 liegen dabei auf den Plätzen 9 und 10.

James Bond, Agent 007

Fühlen Sie sich jetzt doch ertappt? Dann teilen Sie dieses Gefühl mit fast 27 Prozent aller PIN-Nutzer und sollten sich schnell etwas Komplexeres einfallen lassen. Aber vielleicht nicht ausgerechnet aus dem Bereich Literatur und Film. 1984 taucht auf Platz 26 auf, James Bond mangels vierter Zahl in zweierlei Kombinationen: 0007 (Platz 23) und 0070 (Rang 28).

Finger weg auch von Geburtsjahren Ihrer Lieben: Alle Kombinationen, die mit 19.. beginnen sind im häufigsten Fünftel der ausgewerteten Datensätze angesiedelt. Zu beliebt ist auch Persönliches wie Tag und Monat des Geburtstages. Nicht selten liegt der Brieftasche die Identitätskarte gleich bei und gibt alle nötigen Daten preis.

Den Tasten nach

Minimal raffinierter sind die Codes, die sich an der Tastatur selbst orientieren. 2580 kommt schon auf Platz 22. Offenbar tippen viele einfach einmal den mittleren Zahlenblock runter.

Rein statistisch wäre zu erwarten, dass bei den 10’000 möglichen Kombinationen von vier Zahlen jede exakt ein Zehntausendstel ausmacht, also 0,01 Prozent. Für eine Trefferquote von 50 Prozent sollte man demnach 5000 Zahlenkombinationen probieren müssen, was kaum einer machen würde. Nach Berrys Berechnungen genügen jedoch 426 Versuche für eine 50-Prozent-Chance. Weniger als für eines dieser simplen Fahrradschlösser mit drei Ziffern, die  ja auch niemand mehr benutzt weil sie zu unsicher sind.

Die Seltensten

Auch längere PIN-Codes machen das Ganze nicht sicherer. Denn auch hier greifen viele offenbar zu den gleichen Zahlenreihen, wie Berry festgestellt hat. Egal wie lang die Reihe ist: 12345, 123456, 1234567 und so weiter.

Bleibt eine Frage offen: Welches sind die am wenigsten benutzten PIN-Codes? Absteigend von Platz 9991 sind das 8957, 9480, 6793, 8398, 0738, 7637, 6835, 9629, 8093. Und der seltenste PIN-Code überhaupt? Die unscheinbare 8068. Sollte das Ihrer sein: Glückwunsch! Ändern Sie ihn trotzdem – wenn ihn ab jetzt zu viele für den sichersten halten, ist er es nicht mehr lange.

Konversation

  1. Pin Nummern werden in der Regel von der Bank vergeben und sind dann – mal abgesehen vom Onlinebanking – auch vom Kunden nicht mehr veränderbar.
    Hier achten Banken jedoch schon sehr darauf dass keine 1234 Nummern vergeben werden.
    Auch sind die Zahlenkombinationen einer 4-stellige Pin kein Hackergeheimnis, dass man sich nur an irgendwelchen dunklen Ecken des Internets herunterladen kann, sondern recht einfach auf mathematischem Wege für jedermann ermittelbar.
    Warum auch das von der Autorin beschworene Angstszenario fehlgeht hat ja mein Vorkommentator schon erläutert: man die Pin in der Regel immer nur zweimal eingeben.

    Danke Empfehlen (0 )
  2. geht verloren, dass eine Karte nach 3 Fehlversuchen gesperrt ist. Der Angreifer hat nicht 426 Versuche, sondern genau 3. Danach ist das Spiel zuende.

    Natürlich ist die Chance, gehackt zu werden gross, wenn man einen Code aus den 426 häufigsten hat. Statistisch ist die Wahrscheinlichkeit aber doch wieder eher gering.

    Unabhängig davon ist natürlich jeder unauthorisierte erfolgreiche Hack einer zuviel.

    Danke Empfehlen (0 )

Nächster Artikel