12:32
19/9/2012

Jaki jest najpopularniejszy PIN do karty kredytowej? Ktoś przeprowadził ciekawe badania w tym zakresie

Najbardziej popularny PIN to…

Po co prowadzić takie badania? Na przykład po to, aby bardzij wydajnie podejść do zgadywania PIN-ów — od którego zacząć? Wiadomo, od najbardziej popularnego! To przyśpieszy atak, a tego typu potrzeby idealnie obrazuje opisywana przez nas wczoraj wpadka Virgin Mobile.

Na wstępie warto zaznaczyć, że dane pochodzą z publicznie dostępnych baz …które wycieky z różnych instytucji. Oczywiście pod uwagę wzięto w nich tylko “hasła” które skłądały się z 4 cyfr. Koniec końców, okazało się że takich ciągów jest aż 3,4 miliona!

1234

Najbardziej popularnym PIN-em jest 1234. A w jedynie 20 próbach mamy szansę na zgadnięcie aż 27% wszystkich PIN-ów — oto lista najpopularniejszych PIN-ów:

#1 1234 10.713%
#2 1111 6.016%
#3 0000 1.881%
#4 1212 1.197%
#5 7777 0.745%
#6 1004 0.616%
#7 2000 0.613%
#8 4444 0.526%
#9 2222 0.516%
#10 6969 0.512%
#11 9999 0.451%
#12 3333 0.419%
#13 5555 0.395%
#14 6666 0.391%
#15 1122 0.366%
#16 1313 0.304%
#17 8888 0.303%
#18 4321 0.293%
#19 2001 0.290%
#20 1010 0.285%

Inne ciekawe i popularne kombinacje to 2580 — na pierwszy rzut oka nic nam to nie mówi, ale wystarczy spojrzeć na klawiaturę:

pin

Mnemotechniczny PIN

Jeszcze jednym ciekawym wnioskiem z przeprowadzonych badań jest dość częste występowanie PIN-ów o masce 19?? — czyli odpowiadających datom urodzenia.

PIN heatmap

Mapa PIN-ów — jak widać najpopularniejsze to te oscylujące wokół cyfr 0, 1. Na diagonalnej widać popularność PIN-ów 111, 2222 itp.

A jaki jest najmniej popularny PIN?

Na ostatnim miejscu uplasował się 8068 (0.000744% wszystkich 10000 PIN-ów). Kolejne 2 najmniej popularne PIN-y to 8093 oraz 9629. Teraz jednak zmiana swojgo PIN-u na któryś z nich nie jest zbyt dobrym pomysłem… ;-)

Przeczytaj także:



60 komentarzy

Dodaj komentarz
  1. Będzie jak na GPW – teraz wszyscy będą chcieli mieć ten najmniej popularny PIN, wzrośnie popyt, już nie będzie taki najrzadszy…

    • Postuluję o utajnienie kolejnych wyników badań! :D

    • Ja takoż!
      Sekjurity baj obskjurity miałoby się całkiem nieźle, gdyby nie ci wszyscy cholerni Assange’owie i inni podobni! :)

  2. A ja mam inne pytanie. W pewnym serwisie wyłudzają kasę za opłaty aktywacyjne typu “1,23 zł”, a sms kosztuje 30zł i w dodatku w Regulaminie są błędne zapisy. Powinno zgłosić się to do GIODO czy gdzie? No i w GIODO wymagają podpisu elektronicznego?

    • do uokik’u nie giodo, oni nic do tego nie mają.

    • Jak drogą elektroniczną to w GIODO chcą podpisu el. Możesz ewentualnie napisać list ;) Jednak skargę może złożyć ta osoba, której dotyczy naruszenie danych. Ale jak wyłudzają kasę to chyba właściwsza będzie policja?

    • A jak się to ma do treści artykułu?

    • 1. zglos do swojego operatora gsm (np. orange) 2. sciagnij: http://www.play.pl/resources/pdf/Numery_Specjalne.pdf potem odszukaj numer, i zglos bezposrednio do wlasciciela numeru – uzyj kontaktu telefonicznego i mailowego 3. zglos do hostingodawcy – znajdziesz go po numerze IP 4. zglos na policje – proba wyludzenia, jezeli sie “nabrales” to tym lepiej dla policji, przed pojsciem na policje – zrob zrzuty ekranu oraz zapisz strony na dysku ktore zawieraja – regulamin, nr specjalny sms itp.. wszystko nagraj na plytke cd 5. zglos do uokik im do wiekszej ilosci podmiotow zglosisz sprawe, tym wieksze prawdopodobienstwo uruchomienia machiny proceduralnej oraz mniejsza ilosc ludzi oszukanych.. koniecznie zrob screenshoty oraz zapisz strony na dysku!!

    • UOKiK ;)

    • Nikt nic nie wyłudza, takie serwisy działają całkowicie legalnie. Najgłośniej krzyczą głupki które nie czytają regulaminu. Ale na takich właśnie robi się najlepszą kasę. Schemat jest zawsze taki sam: 1,23zł z małą gwiazdeczką że to płatność przez np PayPal, oraz duży tekst “zapłać smsem” i tu łapie się frajera (w regulaminie masz napisane że płatność smsem to już koszt np 30zł, frajer tego nie czyta).

    • Tak.

    • Master skoro nie znasz sprawy do końca to nie komentuj w taki sposób. Akurat ja nie daję się oszukać, a wolę takie strony zgłaszać, w dodatku ta nie działa legalnie. Nigdzie nie ma zamieszczonej treści wymaganej przy płatnych SMSach, jest tylko opis w regulaminie, gdzie też jest błąd, bo jest podana inna treść SMSa do wysłania niż na stronie. Gwiazdek żadnych nie ma itp, przy stronach gdzie są gwiazdki itp nie ma co się męczyć, bo one faktycznie działają legalnie.

    • Zazwyczaj haczyk tkwi w tym, że przykładowe 1.23 to faktyczna opłata za SMS, a 30zł to opłata za korzystanie z usługi albo coś podobnego.

  3. To teraz jako follow-up dodajmy stronę “Sprawdź popularność swojego PIN-u!” :D

    • Ja bym dał link z tytułem “sprawdź, czy twój PIN jest bezpieczny” na stronie e-faktu.
      Prowokacje są w modzie, a dane o klikalności byłyby ciekawe :-)

  4. @Havok GIODO? Co ma główny Inspektor Ochrony Danych Osobowych z wyłudzaniem pieniędzy?

    • Pomyliłem GIODO z UOKIK głównie dlatego, że zapomniałem jak nazywa się UOKIK, a o GIODO pamiętałem xD

  5. es na 2580 zwraca wydatki w plusie więc coś w tym musi być :D

  6. Yaaaa mam naj mniej popularny PIN!!! Ups :P

  7. “Oczywiście pod uwagę wzięto w nich tylko “hasła” które składały się z 4 cyfr. Koniec końców, okazało się że takich ciągów jest aż 3,4 miliona!”
    Czy to znaczy, że 3,4 miliona rekordów w bazie? To chyba nie tak dużo… a ciągów 4 cyfrowych (0-9) jest 10000. Czy się pomyliłem?

  8. Ja osobiście używam losowo wygenerowanego pinu przez bank. Nie ma na niego żadnego sensownego wzoru a wyuczenie się na pamięć się 4 liczb to maksymalnie 10 minut ;)

  9. 1) zrobić appke na FB “Jak popularny jest twój PIN do telefonu/karty/itp/itd !!! SPRAWDŹ TERASSS!” 2)Rozesłać po gimbazie. 3)… 4)PROFIT !

    • 3) Poprosić też o numer i hasło do konta bankowego i maila, żeby sprawdzić “czy, aby przypadkiem Twojego PIN-u nie da się złamać na podstawie tychże kombinacji”, a żeby zobaczyć wyniki swojego testu “wyślij SMS za 2zł + VAT na podany niżej numer” – uzyskane numery telefonów wykorzystać potem spamując gimbaze durnymi tapetami do pobrania za 4zł.

      4) To się dopiero nazywa profit ;D

  10. A nie przypadkiem 10!+10!+10!+10! = 14 515 200 ?

    • A ciągów 1 cyfrowych jest 10! czy 10? ;)

    • i pracujesz dla Google!

    • nowa matematyka normalnie. 14 mln kombinacji z 4 cyfr hmm.

  11. Jak w środę?

  12. przy artykule o blokadzie ajfona wspomniałem o równie popularnym kodzie 2580, to zostałem wyzwany od kapitanów oczywistych, a tu hot news z obrazkiem określającym genezę:D BTW: wszystkie piny do kart wyciekły już dawno:( http://www.positiveatheism.org/crt/pin.htm

    • Przecież wszystkie piny można jedną pętlą for załatwić :D

  13. Ja uzywam 0000 lub 1234 lub 1111 nauczylem sie tego po PIN zawartych w dekoderach cyfrowych DVB,

    • Wiem, że jestem głupi, ale paradoksalnie to ostatnie co bym sprawdzał (i tu ta naiwna ufność dla narodu… echhh)

  14. Ciekawy artykuł na ten temat:
    “A birthday present every eleven wallets? The security of customer-chosen banking PINs
    znajduje się na citeseer-x. Polecam.

  15. uff, zmieniam pin z 1234 na 8068. dziękuję niebezpieczniku.

  16. nie wzrosnie szybkosc, tylko oczekiwany zysk, bo AFAIK user ma 3 proby wprowadzenia pinu, potem jest blokowany. EV=pdp. sukcesu * srednia ilosc kasy na karcie, wiec uzywajac czesto uzywanego pinu zwiekszamy EV.

  17. Kilka lat temu musiałem prosić swój bank (wtedy nie można było to zrobić samemu) o zmianę PINu, gdyż przesłanej kopercie był ustalony na 0001!

    • Wiesz że pin jest ustalany od ilości złotówek na koncie :D

    • Pin jak pin, szansa na zgadnięcie taka sama, jak dla 0000.

  18. Ślepy jestem, czy nigdzie nie ma linku do pobrania danych? Bo chciałem zobaczyć jak popularny jest 1337 ;)

  19. A mojego nie ma bo to 4 gwiazdki :D

  20. Jest jeszcze 0682 dla iPhone i 1313 dla iPadów (wydrukowane cyferki z tyłu obudowy :P)

  21. […] Jaki jest najpopularniejszy PIN do karty kredytowej? Nie ma zaskoczenia: to 1234. Kolejne to 1111 i 0000. Niezwykle popularne są też ciągi zaczynające […]

  22. tak mi sie przypomnialo “my brain, is my passport” :)

  23. W mbanku jest mozliwosc ustawienia 5 cyfrowego pinu do karty.. ciekawostka jest to ze euronet w jakis sposob tego nei respektuje.. i otwiera dostep do mojego konta juz po podaniu 4 cyfr :)

  24. 0.000744% z 10000 to 0.0744. Nie wiedziałem, że piny są podzielne.

    • jesli statystyke zbierasz z bzy 3,2 miliona pinow to taki wynik jest calkiem normalny.

  25. zawsze uzywam okrągłych tysięcy informatyka jako pin – latwo zapamietac a dla przecietnego czlowieka jest to kompletnie losowy trudny numer ;)

    • Ja tak samo, dodatkowo dodaję pewną cyfrę, aby PIN nie był “okrągły”. A 4 ostatnie cyfry mojego numeru telefonu to 8192 ;)

  26. a co Wy na to (jak się mają do tego ataki słownikowe – czy ktoś tego używa)? Nie wiem, jak na Niebezpieczniku wyświetlają się linki do obrazków – ale to jest właśnie taki zwykły obrazek … http://xkcd.com/936/

    • Prawda, ale często są ograniczenia co do długości hasła. Poza tym warto ustawić gdzieś tam duży znak a słowa rozdzielać losowymi znakami. Wtedy ilość kombinacji wzrośnie diametralnie.
      Na przykład:
      Jestem^gimbuSiarskim>Hakier’em:P

  27. Gdyby tak można nie mieć pinu a jedynie kliknąć enter…
    Kto by się spodziewał że karta nie ma pinu?

  28. Od przyszłego roku kilka banków np. BPH wprowadzi do weryfikacji w bankomatach oraz w odziałąch czytniki danych biometrycznych, więc piny nareszcie odpadną. Już teraz niektóre banki spółdzielcze udostępniają swoje bankomaty z taką funkcją. Również Alior Bank ma wprowadzić coś takiego do oddziałów, choć niekoniecznie do bankomatów, bo te w większości należą do Euronetu…
    Piny to naprawdę przestarzała metoda zabezpieczania kasy, szczególnie jeśli istnieją lepsze rozwiązania, niestety również droższe, a banki wolą scedować odpowiedzialność na klienta a później wmawiać mu, że to on musiał wyciągnąć kasę…

  29. Kurde, przeczytałam ten artykuł z nadzieją, że znajdę tutaj swój PIN… Niestety, tak się zabezpieczyłam, że nie mogę się włamać na własne konto… So saaad.

  30. Ktoś przeprowadził badania.. Kto i skąd te dane?

    “Then I realized that 2580 is a straight down the middle of a telephone keypad!” ciekawe jak długo do tego dochodził..

  31. @Kiro – hmm… chodziło mi bardziej o to, czy słyszeliście o takich password policy, stosowanych przy zabezpieczaniu realnych danych / systemów. Ja nie zamierzam się nigdzie włamywać, a na gimbusiarswto już się chyba nie załapię, z racji wieku i doświadczeń życiowych ;-) PS jakoś nauczyłem się haseł losowych i sam jakiś czas temu doszedłem do wniosku, że X losowych znaków to za mało, uzupełniam słownikiem jęz. polskiego.

  32. Wyniki zastraszające, jednak warto wziąć pod uwagę, że z kart często korzystają także osoby starsze.

  33. W niektórych bankach nie ma możliwości zmiany PIN-u, są generowane przez komputer i doręczane lsitem. W moim wypadku wygenerowano 3333 :) niestety nie używam już tej karty, ale algorytm generowania PINu powinien być bardziej dopracowany i nie generować prostych numerów ;)

  34. hahah widze ze patalachy z wp uz przekopiowaly artykol ;)

  35. Dawno powinni wprowadzić hasła (chociażby 9 znaków liczby litery), a nie PINy, a utrzymywanie tego, to gest dla złodziei… Kiedyś miałem klucze zbliżeniowe z pinem na firmie dla pracowników nieistotne jakie, pracownik odchodził klucz został bez pinu. System pozwalał wprowadzić pin w nieskończoność, szkoda wyrzucać jakieś pewnie 25zł/szt. klepałem byle jaką kolejność, to najdłużej zajął mi jeden 30min, a reszta 2-3 próby klika było, większość 5min. System był wewnątrz firmy więc za bardzo nie było znaczenia ogólnie jedynie jak zgubił i inny pracownik by znalazł.

  36. a i ostatnio znalazłem banalny sposób na kartę SIM i uruchomić ją bez PINu w laptopie Lenovo z Win10 ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: