研究者制作了一個載有攝像頭的樹莓派樂高機器人裝置(上圖)�,可以模擬連接到iPhone的USB鍵盤����,從而通過暴力方式快速測試出iPhone自帶的PIN黑名單(如果你在設置新手機時選擇了黑名單中的PIN碼,iPhone會彈出警告窗口:此PIN容易被猜中)�。
在研究論文中�,研究者提供了對智能手機上收集的用戶4位和6位PIN碼(n=1220)進行的首次全面研究,其中四位PIN碼樣本來自2011年的Amitay-4應用(204432個)�,而六位PIN碼則來自RockYou的密碼泄露(2758490個)。結果發(fā)現�,使用6位PIN而不是4位PIN只能提供很少的安全性,甚至可能降低安全性�����。
研究者還研究了蘋果黑名單的影響,iOS設備使用了兩個黑名單��,其中4位PIN黑名單包含274個PIN�,6位PIN黑名單包含2910個PIN。研究者通過上述暴力裝置提取了兩個黑名單��,并將它們與其他四個黑名單進行了比較���,包括一個小的4位PIN黑名單(27個PIN)����,一個大的4位PIN黑名單(2740 PIN)以及兩個分別用于排除4位和6位PIN的安慰劑黑名單�。
結果發(fā)現,iOS目前使用的相對較小的黑名單對于受限猜測攻擊幾乎沒有好處����。僅在黑名單大的多時才能觀察到安全性提高,而這又以增加用戶的沮喪感為代價�����。研究分析表明�����,大約占PIN空間10%的黑名單可能會在可用性和安全性之間達到最佳平衡。