PIN-kodspaning: så skyddar du dig mot gissningsattacker

När kunder får välja sin egen pinkod till mobilappen eller bankkortet väljer många det som är enklast att komma ihåg. Tyvärr är det också det som är enklast att gissa. En analys av 3,4 miljoner läckta PIN-koder från databaser världen över visar tydliga mönster och allvarliga säkerhetsrisker som både banker och kunder måste förstå.

27 procent av alla koder är någon av dessa 20

De tjugo mest använda pinkoderna står för över 27 % av samtliga fyra­siffriga koder i läckta databaser. Detta betyder att över en fjärdedel av alla användare väljer extremt förutsägbara kombinationer:

• 1234 0000 7777 2000 2222 9999 5555 1122 8888 2001
• 1111 1212 1004 4444 6969 3333 6666 1313 4321 1010

Minst vanliga koder

I stark kontrast står följande tjugo koder som är extremt ovanliga och förekommer nästan aldrig i läckta listor. Dessa kombinationer uppvisar ingen tydlig logik eller mönster som gör dem lätta att gissa:

• 8557 8438 9539 7063 6827 0859 6793 0738 6835 8093
• 9047 0439 8196 6093 7394 9480 8398 7637 9629 8068

Varför vanliga koder är farliga

• Enkla sekvenser: Koder som 1234 eller 4321 är de första som cyberbrottslingar prövar vid automatiserade attacker
• Repetitioner: Kombinationer som 0000, 1111, 2222 kräcker många system inom sekunder
• Födelseår och datum: Koder som 2000, 2001 eller 0707 kan kopplas till personuppgifter som angriparen hittat via sociala medier
• Mönsterkoder: Populära val som 6969, 1313 och liknande följer mönster som gör dem sårbara för smarta gissningsalgoritmer

Rekommenderade åtgärder för banker och kortutgivare

• Blockera de vanligaste koderna aktivt i systemet så att kunderna inte kan välja de 100-500 mest använda kombinationerna
• Varning vid svaga val med realtidsanalys och förslag på starkare kombinationer baserat på entropimätning
• Spärr efter få fel försök (max 3-5) för att effektivt hindra systematiska gissnings­attacker
• Fler säkerhetslager som fingeravtryck, ansiktsigenkänning eller engångskoder via SMS/app utöver pinkod
• Proaktiv kundutbildning med konkreta exempel och interaktiva verktyg som visar skillnaden mellan svaga och starka koder

Så väljer användaren en säker PIN

• Välj fyra siffror helt utan koppling till personliga datum, årtal eller telefonnummer
• Undvik alla former av enkla mönster, sekvenser och sifferrepetitioner
• Byt kod regelbundet, minst en gång per år eller vid misstanke om säkerhetsbrott
• Använd unika koder för olika tjänster – samma PIN ska aldrig användas för kort och mobilbank

Säkerställ er digitala trygghet

Vår utbildning inom cybersäkerhet kombinerar praktisk kunskap med engagerande innehåll.

Läs mer