Seznam PIN kódů, které podvodníci probouraj za 3 minuty. Změňte je ihned, varují experti

Když jsem nedávno četla zprávy o tom, že čtyřmístný PIN lze prolomit za pouhé tři minuty, první reakce byla jasná – panika. Jenže po hlubším zkoumání tématu se ukazuje, že realita je složitější a zároveň uklidňující i znepokojující zároveň. Pojďme se podívat, co za těmi děsivými titulky skutečně stojí.

Tři minuty k vašim penězům? Jen za specifických podmínek

Nejprve je třeba uvést na pravou míru, kdy vlastně může k tak rychlému prolomení dojít. Zmíněné tři minuty platí výhradně pro takzvané offline útoky – tedy situace, kdy útočník už předtím získal přístup k databázi obsahující zašifrované nebo zahashované PINy. Teprve pak může bez omezení zkoušet kombinace pomocí výkonných grafických karet, které zvládnou miliony pokusů za sekundu.

U bankomatu nebo při placení kartou v obchodě vás chrání úplně jiný mechanismus. Online systémy mají přísná omezení – obvykle tři až pět neúspěšných pokusů a karta se zablokuje. Žádný hacker tedy nebude stát u bankomatu a metodicky zkoušet kombinace. To je dobrá zpráva.

Proč jsou některé PINy noční můrou

Výzkumník Nick Berry z DataGenetics před lety analyzoval skutečná uživatelská data a jeho zjištění jsou dodnes aktuální. Seznam nejpoužívanějších – a tedy nejnebezpečnějších – PINů se prakticky nemění: 1234, 1111, 4321 apod.

Co mě na tom fascinuje, je ta lidská předvídatelnost. Máme k dispozici deset tisíc kombinací, a přesto se miliony lidí shodnou na těch samých deseti. Zhruba 10–15 procent všech čtyřmístných PINů lze uhodnout jen s pomocí deseti nejčastějších kombinací. Pro útočníka je to jako hrát loterii, kde každý desátý los vyhrává.

Technické slabiny, o kterých se nemluví

Samotná délka čtyř číslic je v dnešní době problém. Deset tisíc kombinací zní jako hodně, ale pro moderní počítač je to směšně málo. Jenže skutečné riziko často leží jinde – v tom, jak systémy PINy ukládají.

K tomu se přidávají chyby v implementaci – úniky informací přes časování, vedlejší kanály, které mohou prozradit, zda je část uhodnutého PINu správná. Jsou to technické detaily, ale v praxi znamenají, že i dobře zvolený PIN může být zranitelný, pokud ho chrání špatně navržený systém.

Nejde jen o platební karty

Když se řekne PIN, většina z nás si představí bankomat. Jenže čtyřmístné kódy používáme všude – k odemykání telefonů, do vstupních systémů budov, k firemním sítím, někdy i k bezpečnostním schránkám. Všude tam, kde spoléháme na krátký numerický kód bez dodatečného zabezpečení, existuje podobné riziko.

Co s tím můžeme dělat

Změna PINu je první a nejjednodušší krok. Vyhněte se zjevným kombinacím – datům narození, výročím, opakujícím se číslicím. Ideální je náhodná sekvence, která pro vás nemá žádný osobní význam.

Ale upřímně – samotná změna PINu nestačí. Skutečná ochrana musí přijít ze strany bank a provozovatelů systémů:

• Moderní hashovací algoritmy jako Argon2 nebo bcrypt, které jsou navržené tak, aby byly pomalé a odolné vůči útokům
• Důsledné solení všech uložených hesel a PINů
• Vícefaktorová autentizace – PIN plus otisk prstu nebo jednorázový kód
• Pokročilé monitorování anomálií v reálném čase

Mezi panikou a lhostejností

Zprávy o tříminutovém prolomení PINů nejsou lží, ale vyžadují kontext. Ano, offline útok na slabě zabezpečenou databázi může být bleskový. Ne, nikdo vám nevybere účet tím, že bude u bankomatu zkoušet kombinace.

Co mě ale znepokojuje, je něco jiného. Úniky dat jsou stále častější. Databáze, které měly být v bezpečí, se objevují na černém trhu. A v tu chvíli záleží na tom, jak kvalitně byla vaše data chráněna – a to je něco, co jako běžný uživatel nemůžete ovlivnit.

Možná je čas přestat se ptát, jestli je náš PIN dost silný, a začít se ptát, jestli jsou systémy, kterým ho svěřujeme, dost bezpečné na to, aby si ho zasloužily.