Die Daten auf einem iPhone sind oft sehr sensibel, werden aber oft nur durch einen leicht zu erratenden Pin-Code wie „1234“ geschützt. Wählt man unter iOS ein neues Passwort, wird man von dem System deshalb gewarnt, falls man ein besonders schwaches Kennwort gewählt hat. Diese Kennwörter sind nicht komplett gesperrt: Man kann sie trotz Warnung verwenden, sollte sich dies aber gut überlegen.
Sicherheitsforscher aus drei Universitäten (Philipp Markert, Daniel V. Bailey und Markus Dürmuth von der Ruhr Universität Bochum, Maximilian Golla vom Max Planck Institut für Cybersicherheit und Schutz der Privatsphäre sowie Adam J. Aviv von der George Washington University) haben sich dieses Blacklist-System jetzt näher angesehen und dazu als unter anderem eine komplette Liste dieser gesperrten Codes ausgelesen. Der Aufwand war hoch, so wurden zurückgesetzte iPhones per Raspberry Pi gesteuert und die Passwörter per Brute-Force-Attack eruiert: Die Forscher gaben dazu per USB-Tastatur alle Passwort-Kombinationen ein und erfassten per Kamera die gesperrten Versuche. Der Trick dabei: Bei einem komplett zurückgesetzten iPhone kann man bei der Erstanmeldung immer neue Passwortkombinationen ausprobieren, ohne dass das Gerät automatisch gesperrt wird.
Was ist gesperrt?
Die Regeln, die Apple verwendet, sind eigentlich recht einfach: Bei den vierstelligen Passwörtern sind es 274 der insgesamt 10 000 Pins. Verboten sind bekannte „Common Pins“ wie „1234“ aber auch die Jahreszahlen 1956 bis 2015 – meist wohl das Geburtsjahr. Bestimmte Ziffernfolgen sind ebenfalls verboten: „aaaa“ (wie 1111) aber auch „abab“ und „aabb“.
Foto: Ruhr Universität Bochum
Aufwendiger war die Suche nach den insgesamt 2910 Möglichkeiten für sechsstelligen Code, diese dauerte 30 Tage. Neben bekannten Kennwörtern gehören dazu aufsteigende und absteigende Zahlen wie „543210“ aber auch wieder Ziffernfolgen wie „aaaaaa“ „abcabc“ und „abccba“ (wie 123321).
Sind Blacklists sinnvoll?
Die Ergebnislisten wurden veröffentlicht, über weitere Tests versuchten die Forscher aber ebenfalls herauszufinden, ob diese Blacklists überhaupt sinnvoll sind: Ob etwa eine relativ kleine Verbotsliste die Sicherheit verbessert oder eine zu große Liste nicht die Nutzer verärgern würde. So reagieren etwa laut der Studie nur die Hälfte der Nutzer auf die Warnung und ändern wirklich das Passwort. Ein weiteres interessantes Ergebnis aus der Studie ist etwa, dass eine Pin mit sechs Ziffern unter Umständen sogar leichter zu erraten ist: Viele Anwender nutzten für einen sechsstelligen Code nämlich besonders simple Pins und sich wiederholende Zeichenfolgen – beispielsweise 123456 oder das durch Kanye West berüchtigte 000000.
Für iOS wird eine Blacklist sogar als unnötig angesehen, da einem Angreifer nur zehn Eingabeversuche zur Verfügung stünden. Anders bei Android: Da hier 100 Versuche möglich sind, würde eine Blacklist sinnvoll sein, müsste aber mindestens 10 Prozent der Pins ausschließen. (Macwelt)