Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] This PIN Can Be Easily Guessed: Analyzing the Security of Smartphone Unlock PINs

Philipp Markert, Daniel V. Bailey|arXiv (Cornell University)|2020. 03. 10.
User Authentication and Security Systems참고 문헌 34인용 수 38
한 줄 요약

이 연구는 스마트폰 잠금 해제를 위한 사용자가 선택한 4자리 및 6자리 PIN 번호를 분석하여, 속도 제한된 공격자에 대비해 더 긴 PIN 번호가 보안상의 이점이 거의 없음을 밝혀냈다. 현재 iOS의 블록리스트가 효과가 없음을 입증하였고, PIN 공간의 약 10%에 해당하는 매우 큰 블록리스트(약 2,740개)만이 사용자 과도한 불편을 초래하지 않으면서도 의미 있는 보안 향상을 이끌어낼 수 있음을 보여주었다.

ABSTRACT

In this paper, we provide the first comprehensive study of user-chosen 4- and 6-digit PINs (n=1220) collected on smartphones with participants being explicitly primed for device unlocking. We find that against a throttled attacker (with 10, 30, or 100 guesses, matching the smartphone unlock setting), using 6-digit PINs instead of 4-digit PINs provides little to no increase in security, and surprisingly may even decrease security. We also study the effects of blocklists, where a set of "easy to guess" PINs is disallowed during selection. Two such blocklists are in use today by iOS, for 4-digits (274 PINs) as well as 6-digits (2910 PINs). We extracted both blocklists compared them with four other blocklists, including a small 4-digit (27 PINs), a large 4-digit (2740 PINs), and two placebo blocklists for 4- and 6-digit PINs that always excluded the first-choice PIN. We find that relatively small blocklists in use today by iOS offer little or no benefit against a throttled guessing attack. Security gains are only observed when the blocklists are much larger, which in turn comes at the cost of increased user frustration. Our analysis suggests that a blocklist at about 10% of the PIN space may provide the best balance between usability and security.

연구 동기 및 목표

  • 사용자가 스마트폰 잠금 해제를 위해 선택한 4자리 및 6자리 PIN 번호의 보안성을 조사하기 위해.
  • 특히 속도 제한된 추측 공격에 대비해 기존의 PIN 블록리스트(특히 iOS의 블록리스트)의 효과성을 평가하기 위해.
  • 블록리스트 설계(강제 적용 여부, 크기, 위약제)가 사용자 PIN 선택 및 인식된 보안에 어떤 영향을 미치는지 이해하기 위해.
  • 블록리스트 경고가 존재할 경우 사용자가 보안, 기억 가능성, 사용성에 대해 어떻게 인식하는지 평가하기 위해.
  • 개발자들이 보안과 사용성의 균형을 맞추기 위해 최적의 블록리스트 크기 설정에 실질적인 지침을 제공하기 위해.

제안 방법

  • 스마트폰 잠금 해제를 고려한 참가자들로부터 1,220개의 사용자가 선택한 4자리 및 6자리 PIN 번호를 수집하였다.
  • 실제 스마트폰 잠금 지연을 모의하기 위해 10, 30, 또는 100회의 추측을 허용하는 속도 제한된 공격자 모델을 사용하였다.
  • 네 가지 블록리스트를 비교하였다: 소형(27개), 대형(2,740개), iOS 4자리(274개), iOS 6자리(2,910개) PIN 번호.
  • 첫 번째 선택지 PIN만 제외하는 위약제 블록리스트를 사용한 대조군 실험을 실시하였다.
  • 사용자 감정 분석을 위해 EmoLex를 사용하였고, 평가자 간 일致성 검증을 위해 코HEN의 카파 계수(κ = 0.91)를 적용하였다.
  • 설문조사 및 질적 피드백을 통해 사후에 인식된 편의성과 보안 수준을 정량화하였다.

실험 결과

연구 질문

  • RQ1속도 제한된 공격자에 대비해 4자리 PIN 대비 6자리 PIN을 사용할 경우 실제로 보안 수준이 유의미하게 향상되는가?
  • RQ2현재의 iOS 블록리스트(4자리: 274개, 6자리: 2,910개)가 속도 제한된 공격자의 성공률을 줄이는 데 얼마나 효과적인가?
  • RQ3블록리스트 경고의 내용 또는 경험 자체가 사용자 PIN 선택 및 인식된 보안에 영향을 미치는가?
  • RQ4어느 정도의 블록리스트 크기가 사용자 과도한 불편을 초래하지 않으면서도 의미 있는 보안 향상을 이끌어내는가?
  • RQ5특히 6자리 PIN에 대해 블록리스트가 존재할 경우 사용자는 사용성과 기억 가능성에 대해 어떻게 평가하는가?

주요 결과

  • 100회의 추측을 허용하는 속도 제한된 공격자에 대비해 6자리 PIN 번호는 4자리 PIN 번호와 비교해 유의미한 보안 이점이 없었고, 일부 경우에서는 오히려 더 추측하기 쉬웠다.
  • iOS 4자리 블록리스트(274개)와 6자리 블록리스트(2,910개)는 속도 제한된 공격자에 대비해 보안 수준 향상에 측정 가능한 효과가 없었다.
  • 속도 제한된 공격자에 대비해 추측 성공률을 의미 있게 줄이기 위해서는 4자리 PIN 공간의 약 10%를 커버하는 블록리스트(약 2,740개)가 필요하며, 이는 현재의 블록리스트보다 훨씬 크다.
  • 참가자들은 블록리스트가 존재할 경우, 실제로 적용되거나 위약제일 사용된 경우에도 자신의 PIN 번호가 더 안전하다고 느꼈다. 이는 보안 향상에 대한 강한 인식이 있음을 시사한다.
  • 두 번째 선택지인 6자리 PIN 번호에 대해 사용자들은 4자리 PIN 번호보다 훨씬 낮은 편의성 인식을 보였으며, 이는 더 긴 PIN 번호에 대한 익숙함 부족이나 더 높은 인지 부담을 의미한다.
  • 블록리스트 경고에 대한 부정적인 감정이 있었음에도 불구하고, 실제로 블록리스트에 걸렸는지 여부와 관계없이 참가자들의 감정 수준이 유사했으며, 이는 경고 디자인이 강제 적용 여부와 관계없이 효과적일 수 있음을 시사한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.