Wenn der Fingerabdrucksensor oder die Gesichtserkennung am Smartphone den biometrischen Abgleich mal nicht hinbekommen, gibt es nur noch einen Weg, das Gerät zu entsperren: per PIN. Auch Tablets und Notebooks lassen sich auf diesem Wege vor fremdem Zugriff schützen, beim Geldabheben und beim Bezahlen mit der EC-Karte ist dieser in der Regel vierstellige Code ebenfalls von Bedeutung. Umso wichtiger ist es, eine möglich sichere Zahlenkombination zu wählen, um private Daten und das Konto zu schützen.

Laut dem australischen Ableger von ABC News ist das aber oft nicht der Fall. Deren Mitarbeiter:innen Julian Fell und Teresa Tan haben 29 Millionen vierstellige persönliche Identifikationsnummern von Have I Been Pwned? analysiert. Auf der Plattform können Nutzer:innen nachvollziehen, ob sie Opfer eines Datenlecks geworden sind. Das wenig überraschende Ergebnis: Viele machen es sich gern leicht – und das könnte ihnen im Ernstfall schnell zum Verhängnis werden.

So belegt dann auch mit der Kombination 1234 ein absoluter Klassiker den ersten Platz im Ranking der Top 50 aller Codes, die du vermeiden solltest. Erschreckend ist, dass der Code mit weitem Abstand an der Spitze steht. Neun Prozent, also fast jeder Zehnte, versuchte auf diese Weise, Daten oder Bankkonto zu schützen. Nicht besser sind die Plätze 2 und 3. Sie bestehen aus 1111 (genutzt von 1,6 Prozent) und 0000 (1,1 Prozent). Auf den weiteren Plätzen folgen Abwandlungen wie 1342 (0,6 Prozent) oder 1212 (0,4 Prozent).

Ebenfalls beliebt sind Geburtsdaten. Den Anfang macht 1986 auf Platz 9, gefolgt von 1989 auf Platz 13 (beide 0,3 Prozent). 1984 und 1987 belegen die Ränge 20 und 21 mit jeweils 0,2 Prozent. Das lässt vermuten, dass Millenials bei der Vergabe von PINs offenbar gern aufs Geburtsdatum setzen.

Auf Platz 28 findet sich mit 2580 ein auf den ersten Blick nicht besonders auffälliger Code. Dabei handelt es sich allerdings um die Zahlenfolge, die entsteht, wenn man auf dem iPhone von der Zwei aus nach unten durchtippt. Sie ist also ebenfalls leicht zu erraten.

Um ihre Ergebnisse zu visualisieren, haben Fell und Tan eine Kombination aus Koordinatensystem und Heatmap erstellt. Auf der Y-Achse sind jeweils die ersten zwei und auf der X-Achse die letzten beiden Ziffern der Codes abgebildet. Die Kombinationen sind als Quadrate eingetragen. Je heller ein Quadrat erscheint, desto häufiger wird eine Kombination genutzt.

Auf der Hand liegt, dass die Codes aus den Top 50 sehr leicht zu erraten sind. Fell und Tan schlüsseln auf: Zwar sind mit den Zahlen von null bis neun 10.000 Kombinationen möglich, den Ergebnissen ihrer Analyse zufolge besteht aber eine Chance von eins zu acht, dass jemand den Code eines Smartphones oder einer Bankkarte knacken kann. Zumindest, wenn demjenigen fünf Versuche zur Verfügung stehen.

Außerdem weisen Fell und Tan darauf hin, dass es sich Menschen nicht nur bei der PIN gern leicht machen. Sie verweisen auf eine Analyse des Passwortmanagers Nordpass VPN, nach der Nutzer:innen bei der Wahl des Passwortes ebenso gern auf einfach zu erratene Kombinationen setzen, obwohl sie “von der kompletten Tastatur wählen” können. Statt 1234, sind hier längere Variante wie 123456 oder 123456789 sowie “password” oder „qwerty123“ besonders populär. Um ihre Daten zu schützen sollten sich Nutzer:innen deswegen raffinierte Kombinatonen ausdenken.