Je tikt ‘m tientallen keren per maand in, bij de pinautomaat, in de supermarkt of bij het tankstation. Vier cijfertjes die voelen als jouw geheim. Maar de kans is groot dat duizenden andere Nederlanders precies dezelfde combinatie gebruiken, en daar zitten dieven ook achter.
Onderzoek naar miljoenen gelekte pincodes laat keer op keer hetzelfde patroon zien. Mensen kiezen massaal voor dezelfde voorspelbare combinaties. En dat is een probleem, want een pincode is pas echt persoonlijk als hij ook echt willekeurig is.
De wiskunde achter jouw vier cijfers
Een viercijferige pincode kent in theorie 10.000 mogelijke combinaties, van 0000 tot 9999. Bij een echt willekeurige verdeling zou elke combinatie ongeveer even vaak voorkomen. In de praktijk gebeurt dat niet, en dat maakt het verschil tussen veilig en kwetsbaar.
Analyses van grote datalekken laten zien dat een klein groepje codes oververtegenwoordigd is. Volgens een veelgeciteerd onderzoek van datawetenschapper Nick Berry, die 3,4 miljoen pincodes analyseerde, is 1234 met afstand de populairste. Ongeveer 10 tot 11 procent van de mensen kiest deze rij.
De top van de voorspelbare lijst
Naast 1234 duiken steeds dezelfde verdachten op. Denk aan 1111, 0000, 1212 en 7777. Ook 2580 staat hoog in de lijst, simpelweg omdat die cijfers een rechte lijn vormen op het toetsenbord van een pinautomaat of telefoon.
Wie wat verder kijkt, ziet ook combinaties als 4321, 1122 en 1010 vaak voorbijkomen. Stuk voor stuk codes die voor de hand liggen en daardoor voor een fraudeur eenvoudig te raden zijn. Zeker als er meer dan één poging mag.
Volgens beveiligingsonderzoekers heeft een dief die de twintig populairste codes uitprobeert, statistisch gezien al kans op een treffer bij ongeveer een kwart van alle pincodes. Dat klinkt onwaarschijnlijk, maar het is precies waarom limieten op het aantal pinpogingen bij banken zo belangrijk zijn.
Waarom je geboortejaar geen handige keuze is
Een trucje dat veel mensen toepassen is hun geboortejaar als pincode gebruiken. Makkelijk te onthouden, en het voelt persoonlijk. Toch raden banken zoals ABN AMRO en Van Lanschot het juist af, en met reden.
Verlies je je portemonnee inclusief identiteitsbewijs, dan staat je geboortejaar er gewoon op. Een vinder die kwaad wil, heeft dan in twee pogingen vaak al beet. Hetzelfde geldt voor postcodes, huisnummers of de geboortejaren van je kinderen, die ook makkelijk te achterhalen zijn via sociale media.
Hoe een echt willekeurige code eruitziet
Een sterke pincode heeft geen patroon dat een ander kan reconstrueren. Geen oplopende of aflopende reeks, geen herhalingen, en geen jaartal dat aan jou gekoppeld kan worden. Hoe vreemder de combinatie aanvoelt, hoe beter.
Een veelgehoord advies is om twee betekenisloze getallen achter elkaar te plakken. Bijvoorbeeld het nummer van een straat waar je nooit hebt gewoond, of een huisnummer uit je jeugd dat verder niemand kent. Het hoeft niet ondoorgrondelijk te zijn, het moet alleen niet uit een Excel-rijtje met de meest voorkomende codes komen.
Wie het lastig vindt om een willekeurige code te onthouden, kan een associatie maken. Een melodietje, een fysiek ritme op de toetsen, of een visueel patroon dat alleen voor jou logisch is. Dat werkt beter dan een datum waar je hele familie van weet.
Pinnen zonder meekijkers
Een goede pincode is alleen het halve verhaal. De andere helft is hoe je ‘m gebruikt. Iedereen heeft het wel eens gezien: iemand die ongegeneerd intikt terwijl de rij achter hem meekijkt. Voor een fraudeur is dat goud waard.
Banken adviseren al jaren hetzelfde: scherm het toetsenbord af met je andere hand. Bij een pinautomaat helpt het om eerst rond te kijken of iemand verdacht dichtbij staat. En verlies je je pas, blokkeer hem direct via je bank-app of de centrale blokkeerlijn.
Wat banken nooit zullen vragen
Een belangrijk ding om te onthouden: een bank vraagt je nooit je pincode via mail, telefoon of WhatsApp. Geen enkele. Krijg je toch zo’n verzoek, dan is het zonder uitzondering een poging tot fraude. Hetzelfde geldt voor codes uit je bankreader of pushbericht.
Ook zogenaamde ‘medewerkers’ die aan de deur komen om je oude pas op te halen, bestaan niet bij echte banken. Het is een bekende oplichtingstruc, vooral gericht op ouderen. Bij twijfel: hang op, bel zelf het officiële nummer van je bank, en check het.
Tijd voor een check
De boodschap is simpel. Een pincode die je in vijf seconden hebt verzonnen, kan een ander in vijf seconden raden. En als je ‘m al jaren niet hebt veranderd, of als je nog steeds een geboortejaar gebruikt, is dit een goed moment om dat aan te passen.
Je pas wisselt vroeg of laat tóch, en bij elke nieuwe pas kun je een nieuwe code instellen. Een paar minuten nadenken over die vier cijfertjes kan veel ellende voorkomen.
Bron: Manly
Ook geschreven door: DataGenetics, CNBC, MAX Vandaag