Tijd om een nieuwe verjaardag te kiezen – hackers weten mogelijk je PIN

Behoor jij tot de 26% mensen die één van deze pincodes gebruikt om hun telefoon te ontgrendelen?

Populaire pincodes

Waarschijnlijk heb je onze recente blog gelezen over de top 10 wachtwoorden die elke keer opnieuw worden gebruikt – “amsterdam” is een populaire keuze – maar hoe zit het met pinnummers op mobiele telefoons? Hoe uniek zijn de pincodes die we kiezen om cybercriminelen ervan te weerhouden toegang te krijgen tot onze telefoons en de waardevolle accounts erop?

De meeste mensen vergrendelen hun telefoon met een code, maar wat als iemand die code weet of misschien kan achterhalen? Misschien kunnen ze het raden aan de hand van veelgebruikte pincodes? Zouden ze dan je e-mails kunnen lezen, WhatsApp-berichten kunnen versturen en de inhoud van je bol.com-mandje kunnen zien?

Recent onderzoek van een datawetenschapper bij DataGenetics wees uit dat dit de top 20 meest gebruikte pincodes (in willekeurige volgorde) zijn:

0000 1212 2222 6666
1004 1234 4444 6969
1010 1313 3333 7777
1111 2000 4321 8888
1122 2001 5555 9999

Ze ontdekten dat maar liefst 26% van alle pincodes uit deze top 20 komt. Er is dus een goede kans dat als je telefoon gestolen wordt of kwijtraakt, criminelen binnen een paar pogingen je telefoon kunnen ontgrendelen – zelfs zonder ook maar iets over je te weten.

Dus waarom gebruiken mensen, waaronder Kanye West, nog steeds eenvoudige codes? Waarschijnlijk kun je het beste eerst deze vraag beantwoorden: wanneer heb je voor het laatst deze toegangscode gewijzigd?

Inmiddels hebben de meeste mensen nu al een decennium lang smartphones met vergrendeling. In 2007, toen de eerste Apple iPhone uitkwam, waren we meer geïnteresseerd in de functies ervan dan de manieren waarop ze mogelijk aangevallen kunnen worden.

Vingerafdruklezers lieten in 2007 nog een paar jaar op zich wachten en dus moesten we 50, tot misschien wel 100 keer per dag onze code invoeren om de telefoon te ontgrendelen. Het is dus niet gek dat mensen een makkelijke en snelle code kozen.

Het probleem is dat mensen, zelfs met de introductie van langere codes, Face ID of Touch ID, zelden hun pincodes wijzigen en dezelfde code op elk apparaat gebruiken – ook al gebruiken we de PIN nu veel minder vaak als ontgrendelmethode.

Een andere manier die mensen gebruiken om pincodes te onthouden, is het gebruiken van betekenisvolle getallen. Een aanvaller hoopt er echter juist op dat mensen een “het zal mij niet overkomen”-houding hebben, dus wat als degene die toegang wil tot jouw telefoon een aantal dingen van je weet? Als telefoons een 4-cijferige code nodig hebben, gebruiken mensen vaak een jaartal; als een 6-cijferige code is aanbevolen, gebruiken mensen vaak een memorabele datum.

Dit is een zeer gevaarlijke manier om je meest geliefde apparaat mee te beveiligen en maakt het makkelijk voor cybercriminelen met onderzoeksvaardigheden om mogelijke toegangscodes voor het ontgrendelen van je telefoon te testen.

Context is belangrijk

Om een voorbeeld te geven van hoe makkelijk het kan zijn: stel, je neemt als toegangscode je trouwdatum, 1 september 2014 (oftewel 010914). De kans is groot dat iemand alleen maar je naam hoeft te weten om deze datum te kunnen achterhalen.

Als je op Facebook zit, heb je wellicht aangegeven dat je getrouwd bent en met wie. Misschien heb je zelf de trouwdatum er niet bij vermeld, maar hoe zit dat met je partner? In slechts een paar kliks zou iemand (via het profiel van je partner) erachter kunnen komen wat je trouwdatum is en zo de sleutel in handen hebben voor het ontgrendelen van je telefoon.

Hoe zit het met Face ID of Touch ID? Zal dat ons niet volledig beschermen tegen aanvallers? Het korte antwoord is nee. Veel mensen denken dat zodra ze een vingerafdruklezer of gezichtsherkenning op hun apparaat hebben, ze zich niet meer druk hoeven te maken over de veiligheid van hun pincode. Onthoud dat er nog steeds een standaard code is om je telefoon te ontgrendelen en dat het voor hackers makkelijker is om deze code te ontcijferen dan je vinger af te snijden of je gezicht na te maken om je apparaat te ontgrendelen.

De digitale recherche van de politie gebruikte voorheen een apparaatje waarmee ze, voor de lancering van iOS 8 in september 2014, Apple iPhones konden ontgrendelen. Dit apparaat probeerde stuk voor stuk alle 4-cijferige codes tussen 0000 en 9999 zonder de telefoons te vergrendelen of wissen. Met 4 seconden per poging was het belangrijk een beginpunt te kiezen dat vermoedelijk niet ver van de daadwerkelijke code lag. Zo bleek dat door 1970 te kiezen als beginpunt de juiste code vaak binnen 30 pogingen werd ontdekt. Dit komt doordat veel mensen toch een geboortedatum, trouwjaar of geboortejaar van hun kind gebruiken om zodoende de  code makkelijker te onthouden.

Hoe blijf je veilig?

De beste methode is om een lange, unieke alfanumerieke code te gebruiken om je telefoon te ontgrendelen. Om het ontgrendelen voor jezelf te versnellen kun je Touch ID of Face ID instellen.

Daarbij is het ook verstandig om op je omgeving te letten; houdt er wellicht iemand je bewegingen in de gaten? Vaak genoeg is het mogelijk om in het openbaar vervoer te zien welke pincodes of wachtwoorden mensen invoeren – of ze verkondigen zelfs hardop aan de telefoon hun creditcardgegevens, inclusief het 3-cijferige CVC-nummer op de achterkant!

Ten slotte  doe je er goed aan om na het back-uppen van je apparaat een extra beveiligingslaag toe te voegen door “Find My iPhone” voor iOS of “Find My Device” voor Android aan te zetten. Dit stelt je in staat op afstand je telefoon te wissen, mocht hij ooit gestolen wordt (ook veel erkende mobiele beveiligingsoplossingen bieden anti-diefstal en wissen op afstand). Zelfs als je het apparaat nooit meer terugziet, kunnen criminelen in ieder geval niet jouw apparaat ontgrendelen en je persoonlijke gegevens en informatie inzien.