Стандарт банковских карт, SIM-карт и кодовых замков. 4 цифры безопасны только в защищённом контексте — там, где устройство ограничивает количество попыток ввода до 3–5.
4 цифры — это стандарт банковских карт по всему миру (ISO/IEC 9564), SIM-карт мобильных операторов, кодовых замков для подъездов и сейфов начального уровня, банкоматов всех марок. Этот формат закрепился в 1960-х годах: инженер James Goodfellow проектировал первый банкомат с 6-значным пином, но его жена сказала, что не запомнит больше четырёх цифр — и индустрия пошла за пользователем.
Сценарии, где 4-значный пин по сей день безопасен: банковские карты (после 3 неверных попыток ввода — блокировка), SIM-карты (после 3 — требуется PUK), кодовые замки (физический доступ ограничивает социального инженера), бытовые сейфы.
Всего возможных комбинаций — 10 000 (от 0000 до 9999). Это число выглядит маленьким, но защиту обеспечивает не пространство, а ограничение попыток. Если устройство блокируется после 3 неверных вводов, эффективная вероятность угадать пин с первой попытки — 3/10 000 = 0.03%. Удовлетворительный уровень для физических устройств.
Однако из 10 000 комбинаций примерно 2 000 считаются слабыми: последовательности, повторы, годы рождения, «фигурные» паттерны на клавиатуре. Наш генератор исключает их автоматически — выбор по умолчанию безопаснее ручного придумывания.
Исследования утечек 2012–2024 годов показывают, что около 27% всех пин-кодов в мире — это всего лишь 20 комбинаций. Самые частые:
1234 — лидер всех времён, около 11% всех пин-кодов1111, 0000, 1212, 7777 — повторы и парные паттерны1990, 1991, … 20102580 (вертикальная линия на цифровой клавиатуре), 1397 (углы)Атакующий, имеющий 3 попытки, попробует именно эти комбинации первыми. Наш генератор гарантирует, что вы не попадёте в этот список.
В онлайн-сервисах без жёсткого rate-limit (некоторые мобильные приложения, веб-формы) 4-значный пин превращается в банальный пароль с энтропией всего 13.3 бита — перебирается за миллисекунды. Не используйте 4 цифры там, где сервис не блокирует учётку после нескольких ошибок. Для онлайн-сценариев берите минимум 6 цифр или 8-символьный буквенно-цифровой пароль.
4-значный пин безопасен только в защищённом физическом контексте. Никогда не диктуйте его по телефону, не вводите при чужих людях за плечом, не используйте один пин на банковской карте и SIM-карте. Меняйте пин раз в год и после любой подозрительной операции с картой.