Passwörter

Diese PIN-Codes sind am iPhone tabu

Stephan Wiesend schreibt für die Computerwoche als Experte zu den Themen Mac-OS, iOS, Software und Praxis. Nach Studium, Volontariat und Redakteursstelle bei dem Magazin Macwelt arbeitet er seit 2003 als freier Autor in München. Er schreibt regelmäßig für die Magazine Macwelt, iPhonewelt und iPadwelt.
Vergibt man unter iOS PIN-Codes, werden Zahlen wie „1234“ bemängelt. Eine aktuelle Studie recherchierte die komplette Liste der verbotenen Codes und prüft die Sicherheit des Systems.

Die Daten auf einem iPhone sind oft sehr sensibel, werden aber oft nur durch einen leicht zu erratenden Pin-Code wie „1234“ geschützt. Wählt man unter iOS ein neues Passwort, wird man von dem System deshalb gewarnt, falls man ein besonders schwaches Kennwort gewählt hat. Diese Kennwörter sind nicht komplett gesperrt: Man kann sie trotz Warnung verwenden, sollte sich dies aber gut überlegen.

Wählt man als Pin einen Code wie 1232, wird man davor gewarnt.
Wählt man als Pin einen Code wie 1232, wird man davor gewarnt.

Sicherheitsforscher aus drei Universitäten (Philipp Markert, Daniel V. Bailey und Markus Dürmuth von der Ruhr Universität Bochum, Maximilian Golla vom Max Planck Institut für Cybersicherheit und Schutz der Privatsphäre sowie Adam J. Aviv von der George Washington University) haben sich dieses Blacklist-System jetzt näher angesehen und dazu als unter anderem eine komplette Liste dieser gesperrten Codes ausgelesen. Der Aufwand war hoch, so wurden zurückgesetzte iPhones per Raspberry Pi gesteuert und die Passwörter per Brute-Force-Attack eruiert: Die Forscher gaben dazu per USB-Tastatur alle Passwort-Kombinationen ein und erfassten per Kamera die gesperrten Versuche. Der Trick dabei: Bei einem komplett zurückgesetzten iPhone kann man bei der Erstanmeldung immer neue Passwortkombinationen ausprobieren, ohne dass das Gerät automatisch gesperrt wird.

iOS warnt vor zu einfachen Codes.
iOS warnt vor zu einfachen Codes.

Was ist gesperrt?

Die Regeln, die Apple verwendet, sind eigentlich recht einfach: Bei den vierstelligen Passwörtern sind es 274 der insgesamt 10 000 Pins. Verboten sind bekannte „Common Pins“ wie „1234“ aber auch die Jahreszahlen 1956 bis 2015 – meist wohl das Geburtsjahr. Bestimmte Ziffernfolgen sind ebenfalls verboten: „aaaa“ (wie 1111) aber auch „abab“ und „aabb“.

Gesammelt wurden die Passwörter über die automatische Eingabe neuer Passwörter.
Gesammelt wurden die Passwörter über die automatische Eingabe neuer Passwörter.
Foto: Ruhr Universität Bochum

Aufwendiger war die Suche nach den insgesamt 2910 Möglichkeiten für sechsstelligen Code, diese dauerte 30 Tage. Neben bekannten Kennwörtern gehören dazu aufsteigende und absteigende Zahlen wie „543210“ aber auch wieder Ziffernfolgen wie „aaaaaa“ „abcabc“ und „abccba“ (wie 123321).

Sind Blacklists sinnvoll?

Die Ergebnislisten wurden veröffentlicht, über weitere Tests versuchten die Forscher aber ebenfalls herauszufinden, ob diese Blacklists überhaupt sinnvoll sind: Ob etwa eine relativ kleine Verbotsliste die Sicherheit verbessert oder eine zu große Liste nicht die Nutzer verärgern würde. So reagieren etwa laut der Studie nur die Hälfte der Nutzer auf die Warnung und ändern wirklich das Passwort. Ein weiteres interessantes Ergebnis aus der Studie ist etwa, dass eine Pin mit sechs Ziffern unter Umständen sogar leichter zu erraten ist: Viele Anwender nutzten für einen sechsstelligen Code nämlich besonders simple Pins und sich wiederholende Zeichenfolgen – beispielsweise 123456 oder das durch Kanye West berüchtigte 000000.

Für iOS wird eine Blacklist sogar als unnötig angesehen, da einem Angreifer nur zehn Eingabeversuche zur Verfügung stünden. Anders bei Android: Da hier 100 Versuche möglich sind, würde eine Blacklist sinnvoll sein, müsste aber mindestens 10 Prozent der Pins ausschließen. (Macwelt)

Zur Startseite