Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

4, 6, 8, 10 Stellen: Wie lange es dauert, den PIN-Code des iPhones zu erraten

Vor wenigen Tagen sorgte die Meldung für Aufsehen, dass eine kleine Box zum Entsperren von iPhones tatsächlich vertrieben und von Behörden (sowie vermutlich auch Hackern) eingesetzt wird. Normalerweise ist es nicht möglich, einfach stundenlang den PIN-Code durchzuraten. Je nach Einstellung bleiben entweder nur zehn Versuche bis zur Datenlöschung - oder eine immer längere Zeitstrafe zwischen den Versuchen. Nach dem achten fehlgeschlagenen Versuch werden beispielsweise jeweils 60 zusätzliche Minuten fällig. Allerdings schleust die Box namens GrayKey einen Exploit ein, der diesen Schutzmechanismus aushebelt. Deswegen sind sehr viel mehr Versuche in weitaus kürzerer Zeit möglich sind. Ein Kryptografie-Experte namens Matthew Green führt vor Augen, wie lange es durchschnittlich dauert, bis verschieden lange PIN-Codes per GrayKey erraten sind.


Vier und sechs Stellen
Relativ schnell geht es bei einem vierstelligen Code. Nach maximal 13 Minuten ist das iPhone freigeschaltet, im Durchschnitt vergehen gerade einmal 6,5 Minuten. Dies zeigt, wie wenig Schutz in diesem Fall kurze PIN-Codes bieten. Anders sieht es bei zwei Stellen mehr aus. Im schlechtesten Fall (aus Angreifersicht) sind es 22 Stunden, im Durchschnitt nur 11 Stunden. Die Werte liegen deutlich unterhalb jener Einschätzungen, die man GrayKey zuvor zugetraut hatte.

Acht und zehn Stellen
Entscheidet sich ein Nutzer dafür, acht Stellen einzusetzen, so wird es zunehmend schwieriger – maximal 92,5 Tage müsste GrayKey dann wild durch die Gegend raten, im Durchschnitt ist der Code erst nach eineinhalb Monaten geknackt. Bei einem zehnstelligen PIN-Code wird nicht nur die regelmäßige Eingabe mühsam, sondern auch der Versuch, ins iPhone einzubrechen. Satte 9259 Tage dauert der Vorgang im schlechtesten Fall, im Durchschnitt immer noch annähernd 13 Jahre.

Längerer PIN-Code, besserer Schutz
Wer angesichts dieser Werte lieber mehr als den standardmäßig eingestellten sechs Stellen langen PIN-Code verwenden möchte, kann dies ganz einfach tun. In den iOS-Systemeinstellungen unter "Touch ID & Code" den "Code ändern", anschließend auf "Codeoptionen" tippen und einstellen, dass es fortan ein eigener numerischer Code sein soll.


Auch ein normales Passwort anstatt eines Codes ist möglich. Der eingangs erwähnte Experte weist aber darauf hin, dass nur sorgfältig gewählte Passwörter mehr Schutz als ein langer Zahlencode bieten.
macOS 14.4.1 erschienen
macOS 14.4.1 erschienen
iPhone 16: Angeblich alle Akkugrößen durchgesickert
iPhone 16: Angeblich alle Akkugrößen durchgesic...
iPad Pro mit OLED
iPad Pro mit OLED
Linsenspiegelungen: Bekommt Apple das Problem mit dem iPhone 16 in den Griff?
Linsenspiegelungen: Bekommt Apple das Problem m...
Safari: iOS 18 enthält angeblich den "Browsing Assistant" +++ massive Performance-Verbesserungen in WebKit
Safari: iOS 18 enthält angeblich den "Browsing ...
Apple TV: YouTube-Bildschirmschoner erscheint ungefragt
Apple TV: YouTube-Bildschirmschoner erscheint u...
Recycling-Betrug: Doch Apple lässt Klage fallen, um eigenes widersprüchliches Verhalten nicht zu thematisieren
Recycling-Betrug: Doch Apple lässt Klage fallen...
iPhone 16: Die ersten Dummy-Modelle kursieren und zeigen Details
iPhone 16: Die ersten Dummy-Modelle kursieren u...

Kommentare

gritsch17.04.18 09:26
Bei PINs ist es ja ganz einfach:
mit jeder weiteren Stelle verzehnfacht sich der Aufwand des Knackens.
Bei einem alphanumerischen Code sind es pro Stelle bereits das 60 oder 70 fache (10 ziffern, mindestens 26 Kleinbuchstaben + 26 Großbuchstaben beim Lateinischen Alphabet).

Also lieber ein 6-Stelliger alphanumerischer Code als einen 10-Stelligen numerischen!
+2
Mac-Mania
Mac-Mania17.04.18 09:35
Bezieht sich jetzt die oben genannte Zeit auf ein manuelles Knacken des Codes, sprich eine händische Eingabe?
-2
Tomboman17.04.18 09:37
Mac-Mania

Nein, mit dieser Box
+1
MacMichael17.04.18 09:53
Wird das iPhone nicht nach ein paar Fehleingaben gesperrt, bzw. die Zeit für eine erneute Eingabe immer länger?
-8
Keepo
Keepo17.04.18 09:56
MacMichael
Wird das iPhone nicht nach ein paar Fehleingaben gesperrt, bzw. die Zeit für eine erneute Eingabe immer länger?

Artikel gelesen?
Er kam, sah und ging wieder.
+6
Mendel Kucharzeck
Mendel Kucharzeck17.04.18 09:59
MacMichael
Es steht im zweiten Satz der Meldung
+4
gegy17.04.18 10:40
Nun, es ist natürlich bitter, das es so einen Exploid gibt und dieser wohl auch funktioniert. Hab jedoch noch kein Video gesehen wo man Geräte an die Box anschließt und so einen kasten mit zwei iPhone Ladekabeln kann man ja recht einfach bauen. Sieht ein bissal wie ne Box mit nem Raspberry Pi aus.
Hat jemand einen Link zu nem Video?
-3
haudejen
haudejen17.04.18 10:45
Guten Morgen!
Ist es sinnvoll seinen vierstelligen Code einfach zu verdoppeln, also z.B. 13241324, oder wird so etwas wesentlich schneller geknackt als ein 8stelliger code, in dem sich die ersten 4 und letzten 4 Zeichen nicht gleichen?
+2
Wurzenberger
Wurzenberger17.04.18 10:47
gegy
Hab jedoch noch kein Video gesehen wo man Geräte an die Box anschließt und so einen kasten mit zwei iPhone Ladekabeln kann man ja recht einfach bauen.

Wer ein nicht funktionierendes Gerät für 30.000 Dollar/Stück ans FBI verkauft dürfte ziemlich schnell ziemlich inhaftiert sein.
0
cyberbutter
cyberbutter17.04.18 10:58
Wurzenberger

Wer ein nicht funktionierendes Gerät für 30.000 Dollar/Stück ans FBI verkauft dürfte ziemlich schnell ziemlich inhaftiert sein.

Vielleicht kann er eins von den Geräten mitnehmen und den vier Stelligen Zahlencode der Zelle knacken?
BÄM!
+1
PaulMuadDib17.04.18 11:15
gritsch
Also lieber ein 6-Stelliger alphanumerischer Code als einen 10-Stelligen numerischen!
Schon. Aber ein 12-stelliger numerischer ist quasi beides: einfacher zu tippen und immer noch sicher genug.
0
robos17.04.18 11:16
Sind das Zeiten für reine Zahlencodes?
+1
Mac-Mania
Mac-Mania17.04.18 12:03
Tomboman
Mac-ManiaNein, mit dieser Box

Danke
0
bestbernie17.04.18 12:06
Ich habe einen 12 stelligen alphanumerischen Code, die lächerliche Box wurde dafür einige Millionen Jahre brauchen den zu knacken, und die Deppen in den Verwaltungen der vermeintlichen Sicherheitsdienste schmeißen dafür den den Entwicklern Geld in den Rachen, geschuldet natürlich zum einen den fehlenden Sicherheitsbedürfnisse der Nutzer, aber vor allem der Unfähigkeit und Unkenntnis eben jener sicherheitsfachleute.
-1
Moogulator
Moogulator17.04.18 13:44
Wäre auch gut wenn man nicht sofort erkennen können wie viele Stellen man ‚raten‘ müsste. Dann wäre die Anzahl der einzugebenden Ziffern auch ein Ratespiel.

Generell ist aber doch das Problem dass Passworte ein tippen unglaublich nervt. Gerade war ein Gerät was man ständig entriegeln muss. Im Auto zb für Musik, Navi..
Ich habe eine MACadresse!
0
maybeapreacher
maybeapreacher17.04.18 15:33
Moin,

da das System, anders als in diversen Hacker-Filmen, keine Rückmeldung gibt ob die erste Stelle richtig oder falsch geraten ist um sich dann der zweiten Stelle zuzuwenden, sondern immer der gesamte Code stimmen muss, spielt es für so eine Box keine Rolle ob Du einen 4-stelligen Code (1234) verdoppelst (12341234) oder einen eigenen 8-stelligen machst (12345678).

Aber wenn man schon so nachdenkt, dann nimm lieber einen 6-stelligen alphanumerischen und verdoppel' den
haudejen
Guten Morgen!
Ist es sinnvoll seinen vierstelligen Code einfach zu verdoppeln, also z.B. 13241324, oder wird so etwas wesentlich schneller geknackt als ein 8stelliger code, in dem sich die ersten 4 und letzten 4 Zeichen nicht gleichen?
0
don.redhorse17.04.18 17:40
maybeapreacher
Hacken von Computersystemen und auch nur das erraten von Passwörtern in Filmen ist immer wieder eine Wonne...

Wie so oft, die länge zählt. Wichtig dabei ist das man eben nicht 123412341234 nimmt, solche Verdopplungen etc. werden als aller erstes probiert, ebenso 4123 etc. pp.
ein 88232388 ist sicherer als ein 882352, aber ein Wega67"zerraufen ist besser als 111514344508742013032309497999. Die letzten beiden mit dem Schlüsselbund erzeugt. Wenn man sich passpfrasen erzeugt, ist es immer sinnvoll Wörter zu verwenden die nicht zusammen gehören und am besten noch einen Fehler haben. BettStuhlTisch ist nicht schlecht, aber BettFlußKrezuer ist besser. Dazu noch eine 57 und nen Komma, dass knackt keiner in den nächsten Jahren.
0
Oceanbeat
Oceanbeat17.04.18 18:45
„ichhabemeinverfocktespasswortvergessen57," wäre dann OK...?
Wenn das Universum expandiert, werden wir dann alle dicker...?
+4
don.redhorse17.04.18 20:34
Japp, dass gibts garantiert in keinem Wörterbuch und bis die per brute Force bei einer solch langen passphrase angekommen sind, sind wir im nächsten Jahrhundert
0
Pixelmeister19.04.18 10:54
Weiß jemand, wie bei diesen Brute-force Attacken vorgegangen wird? Werden da zuerst sehr wahrscheinliche Zahlenkombinationen (Folgen, Wiederholungen, Jahreszahlen ...) durchgegangen oder fangen die einfach immer bei 0000 an und arbeiten sich notfalls bis 9999999999... durch? Sollte letzteres der Fall sein, müssten doch z.B. 8en besser sein als 1en, oder (also 888888 besser als 111111) – einfach weil der Algorithmus dort später ankommt?
0
Stefab
Stefab19.04.18 12:57
Pixelmeister
Weiß jemand, wie bei diesen Brute-force Attacken vorgegangen wird? Werden da zuerst sehr wahrscheinliche Zahlenkombinationen (Folgen, Wiederholungen, Jahreszahlen ...) durchgegangen oder fangen die einfach immer bei 0000 an und arbeiten sich notfalls bis 9999999999... durch? Sollte letzteres der Fall sein, müssten doch z.B. 8en besser sein als 1en, oder (also 888888 besser als 111111) – einfach weil der Algorithmus dort später ankommt?
Naja, es wäre auch möglich, dass von 9999 auf 0000 runter gezählt wird, weil Codes, die mit Nullen anfangen, wohl eher seltener sind.

Aber ich würde vermuten, dass man einstellen kann, ob von unten nach oben, von oben nach unten oder nach anderen Systemen vorgegangen wird.
0
Stefab
Stefab19.04.18 13:08
Moogulator
Wäre auch gut wenn man nicht sofort erkennen können wie viele Stellen man ‚raten‘ müsste. Dann wäre die Anzahl der einzugebenden Ziffern auch ein Ratespiel.
Ist doch so, zumindest bei mir. Verwende schon seit einigen Jahren einen längeren Zahlencode. Dafür war es früher notwendig, dass man in den Einstellungen Alphanumerischer Code einstellt, aber nur Zahlen eingibt. Dann erscheint beim entsperren die Zifferntastatur und eine "OK" Taste. Würde mal davon ausgehen, dass das bei eigenem numerischen Code auch so ist.

Es wird dann bei Verwendung der Box vermutlich bei 1 Stelle angefangen und immer die Anzahl der Ziffern erhöht, bis man geknackt hat.
Denn 1-4 Stellen brauchen ja kaum Zeit. Aber ab dann muss man eben auch die Zeit für die vorherigen Codelängen zum knacken dazu zählen.

Also für 6 Stellen 22 Stunden, bei 7 sind es dann 220 + 22 + 2,2 Std. (den Rest kann man zB aufrunden), dann ca. 244,4 Std. sowas, bei 8 Stellen müssten es dann 2.444,4 Std. sein, usw.
0
Stefab
Stefab19.04.18 13:12
PS: Somit ist eigentlich auch die Angabe von MTN falsch, was den 8 (und mehr)-stelligen Code angeht, das wären bei 8 mit den kürzeren Codes ca. 101,85 Tage anstatt 92,5 Tage, außer die Angreifer wüssten von irgendwo her, dass der Code genau 8 Stellen hat.
0
elBohu
elBohu04.10.19 10:50
Wenn alle Systeme sicher nach 3 Fehlversuchen blocken würden oder eine 2FA nutzen würden, gingen auch 6Stellige Passcodes. Brutforce geht nämlich nur, wenn ich (oder besser ein Rechner) versuchen können, bis sie schwarz werden oder fertig sind.
Auch eine Passworteingabe von mehren 1000/sec ist dann nach dem 3. Versuch beendet oder schon beim ersten, wenn einen 2FA folgen muss!
Problem 1: die Menschen sind einfach zu bequem.
Problem 2: wenn die Umsetzung Geld kostet, tun sich schon Unternehmen schwer
Problem 3: die Menschen sind geizig.
Problem4: die Menschen sind einfach zu bequem.
wyrd bið ful aræd
-1
Meierseppl10.10.19 12:22
elBohu
Wenn alle Systeme sicher nach 3 Fehlversuchen blocken würden...
Und genau das umgeht die Kiste ja.
elBohu
... oder eine 2FA nutzen würden, gingen auch 6Stellige Passcodes.
Eine 2FA beim Pincode wäre auch ziemlich unsinnig, ich möchte mal den Shitstorm mitbekommen wenn man bei jedem Entsperren des Smartphones eine 2FA durchführen muss.
0
Guido_Appendix04.11.19 17:49
Ich versteh einfach nie, wieso das aushebeln der (Mehr als 3x)Sperre immer so viel einfacher zu knacken ist, immerhin gibts dafür ja ne Blackbox, als der dazugehörige Pin-Mechanismus?

Ich mein wie wärs diese umgehung zu verhindern, dann würden uns die 4steligen Codes noch lange reichen, alles steht und fällt nur immer mit der Umgehung der Lock-Time. Und diese Gefahr lauert scheinbar bei jeddem System.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.