Süddeutsche Zeitung

Unsichere PIN-Codes:1234? Erwischt!

Wer die EC-Karte oder das Handy mit einem PIN-Code schützt, sollte die Ziffernkombination sorgfältig wählen. In vielen Fällen ist die Wahrscheinlichkeit groß, dass Datendiebe die Geheimzahl richtig erraten.

Also dann, raten wir mal. 1234? War es das schon? Ist das Ihr PIN-Code für das Handy, die EC- oder Kreditkarte? Jedem neunten Leser dieses Textes müsste jetzt die Schamesröte ins Gesicht steigen. Doch weiter: 1111, 0000, 1212, 7777. Erwischt? Inklusive dieser Kombinationen ist jeder fünfte, sind also 20 Prozent aller PIN-Codes geknackt. Setzen wir die Marge noch etwas höher und machen jedem vierten Leser ein schlechtes Gewissen. Dafür reichen folgende Versuche: 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1122. Nun sind bereits mehr als 25 Prozent - ein Viertel - aller PIN-Codes genannt worden, die sich Nutzer von Bank- und Kreditkarten, von Handys oder anderem aussuchen.

Ginge es mit reinem Zufall zu, müsste jeder vierstellige PIN-Code mit der gleichen Häufigkeit von 0,01 Prozent vorkommen, also mit der Wahrscheinlichkeit von einem Zehntausendstel, weil es zehntausend Möglichkeiten gibt, vier Ziffern zu kombinieren. Doch wenn Menschen PIN-Codes wählen, denken sie nicht mathematisch, sondern praktisch. Die Ziffern soll man sich leicht merken und möglichst schnell tippen können.

Welche Zahlenkombinationen dabei bevorzugt werden, hat soeben der amerikanische Software-Spezialist Nick Berry von der Beratungsfirma Data Genetics analysiert. Basis für seine Untersuchung waren 3,4 Millionen PIN-Codes, die der Experte nicht selbst gehackt, sondern aus anonymisierten, frei verfügbaren Datenbanken bezogen hat. Es waren Zifferncodes, die in den vergangenen Jahren bei diversen Datenleck-Affären an die Öffentlichkeit gelangt sind.

Schon die 20 meistbenutzten vierstelligen PIN-Codes zeigen, dass Menschen nicht viel Phantasie und Sicherheitskultur an den Tag legen, wenn es darum geht, das Telefon oder das Bankkonto mit einem Code zu schützen. Unter den Top 20 tauchen hinter dem unangefochtenen Spitzenreiter 1234 alle Versionen vier gleicher Ziffern auf, ebenso wie einfach zu merkende Paarkombinationen à la 1122 oder 1212 (siehe Grafik).

Auch eingängige Jahreszahlen wie 2000 oder 2001 sind zu finden. Für Mitteleuropäer etwas rätselhaft ist die Häufigkeit der 1004 auf Platz 6 sein. Tatsächlich mögen Koreaner diese Ziffernkombination, weil sie in Worten gesprochen so wie "Engel" klingt. International und dementsprechend zweifellos auch in Deutschland eine häufig gewählte Zahlenkombination ist die sexuell konnotierte 6969. Weithin beliebt ist offenbar auch James Bond, der Geheimagent ihrer Majestät: Die Kombinationen 0007 und 0070 mit der Doppelnull als Lizenz zum Töten finden sich auf den Plätzen 23 und 28 der häufigsten PIN-Codes.

Auf den ersten Blick mehr Phantasie scheinen die Nutzer der Code-Kombination auf Rang 22 zu haben: 2580. Schließlich ist in diesen Ziffern weder ein einfaches numerisches Muster noch eine Anspielung auf Filmhelden oder Sex erkennbar. Doch entlarvt ein Blick auf die gängigen Tastaturen von Bankautomaten und Mobiltelefonen auch diese Ziffernfolge als phantasiefreie und entsprechend leicht für Hacker zu überwindende Hürde: Die Tasten für diese vier Ziffern liegen schlicht senkrecht übereinander.

Zehntausend Möglichkeiten für vier Ziffern gibt es, doch die Nutzer von PIN-Codes wählen manche Kombinationen tausendmal so häufig wie andere. Der Spitzenreiter 1234 kommt so oft vor wie die 4000 seltensten Kombinationen zusammengenommen. Überhaupt sind Codes mit einer 1 an erster Stelle fünf- bis zehnmal so häufig wie alle anderen Startziffern. Mit großem Abstand folgt die 0.

Wären alle PIN-Kombinationen etwa gleich häufig, müsste man 5000 Ziffernkombinationen ausprobieren, um einen PIN-Code mit 50 Prozent Wahrscheinlichkeit zu knacken. In der Realität genügen hierfür jedoch 426 Ziffernkombinationen. Das sind weniger Versuche als man für ein Kinderfahrradschloss mit drei Ziffern braucht. Gefährlich wird es auch, wenn beispielsweise die ersten oder letzten beiden Ziffern ausgespäht wurden: Fast 18 Prozent aller realen PIN-Codes bestehen aus zwei gleichlautenden zweistelligen Zahlen der Art xyxy.

Geburtsjahr und Pi

Nun könnte man einwenden, auch 426 Kombinationen seien für einen Datendieb ein beträchtlicher, in der Praxis gar unrealistischer Aufwand. Doch liefert die PIN-Code-Analyse von Data Genetics viele weitere Angriffspunkte: Sämtliche Ziffernkombinationen, die mit einer 19 beginnen, tauchen unter den 2000 meistbenutzten Codes auf. Mit anderen Worten: Sehr viele PIN-Code-Nutzer verwenden ein Geburtsjahr, im Zweifel das eigene. So ist die Ziffernkombination 1972 22-mal so häufig wie jede andere Kombination, die auf -72 endet.

Bei einer anderen Jahreszahl ist es noch extremer: Die 1984 ist fast 45-mal so häufig wie andere xx84-Kombinationen, wobei hier mutmaßlich auch ein gewisser George Orwell eine Rolle spielt. Ebenso auffällig wie die 19 ist die statistische Häufung von Kombinationen zweier zweistelliger Zahlen, wobei eine zwischen 01 und 12 liegt und die andere zwischen 01 und 31. Es geht um Datumsangaben, im Zweifelsfall ist es ein Geburtstag, der den Zugang zum Handy oder Konto freischaltet. Wie praktisch für Delinquenten, dass diese Information in einer verlorenen oder gestohlenen Brieftasche oft gleich beiliegt, zum Beispiel in Form des Führerscheins.

Erwischt? Wer seine Ziffernkombination in diesem Text entdeckt hat, sollte schnellstens den PIN-Code ändern. Und niemand sollte Codes wie die 3142 für besonders schlau halten. Im Zweifelsfall haben auch Hacker eine gewisse Neigung zur Mathematik und kennen die ersten Ziffern der Kreiszahl Pi.

Wie also lautet die seltenste Vier-Ziffern-Kombination? Es ist, völlig unspektakulär, die 8068. Kein Monat, kein Jahr, keine Anspielung. Überhaupt beginnen sieben der 20 seltensten Kombinationen mit einer 8. Und jetzt, nachdem dies bekannt geworden ist, beginnt das, was man beim Pokerspiel das Denken zweiter Stufe nennt: Viele Nutzer werden womöglich auf die Idee kommen, genau diese Kombination zu wählen. Und das wäre dann ein neues Einfallstor für Datendiebe. Also Finger weg von der 8068.

Als vergleichsweise sicher gelten zwei zweistellige Zahlen, die einen deutlichen numerischen Abstand haben, etwa die 6835. Nicht aufgetaucht in der Analyse von Data Genetics sind ein paar womöglich in Deutschland spezifische Codes: 0815, 4711 oder 2962. Letzteres wäre einen Versuch wert, wenn der Code-Nutzer ein Bergfex ist. Die Höhe der Zugspitze kann aber auch ein Hacker nachschlagen.

Bestens informiert mit SZ Plus – 14 Tage kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.1486312
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
SZ vom 27.09.2012/mcs
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.