Современный стандарт смартфонов и банковских приложений. 6 цифр сложнее запомнить с одного взгляда — защита от подглядывания за плечом. В 100 раз больше пространство, чем у 4-значного пина.
Apple перешёл на 6-значный пин по умолчанию в iOS 9 (2015 год), Android повторил спустя пару лет, а большинство банков обновили мобильные приложения в 2018–2020 годах. Причина — выросшая угроза «подглядывания за плечом» (shoulder surfing) и атак через скрытые камеры в общественных местах. Шесть цифр сложнее запомнить с одного взгляда, чем четыре.
Сегодня 6-значный пин используется для разблокировки смартфонов, банковских приложений, подтверждения транзакций по 3-D Secure, кодов 2FA из SMS и приложений-аутентификаторов.
6-значный пин даёт 1 000 000 возможных комбинаций — энтропия 19.9 бит. По сравнению с 10 000 у 4-значного, пространство выросло в 100 раз. Даже без блокировки попыток перебор миллиона хешей займёт миллисекунды на современном железе, но в защищённом контексте (3 попытки + блокировка) защита уже гораздо серьёзнее: вероятность подбора с первой попытки 0.0003%, что в 100 раз ниже, чем у 4-значного пина.
Психологические эксперименты показывают, что человеческая зрительная память надёжно фиксирует 4-значный пин с одного взгляда в 60% случаев — а 6-значный лишь в 25%. Это критично в общественных местах: метро, очередь в супермаркете, кофейня. Каждый дополнительный знак геометрически усложняет запоминание для случайного наблюдателя.
Если ваш телефон используется в публичных пространствах, переход с 4 на 6 цифр снижает риск «социальной» атаки в разы. Включите Face ID или Touch ID параллельно — пин будет нужен только после перезагрузки или нескольких неудачных биометрических попыток.
4 буквы латинского алфавита дают 26⁴ = 456 976 комбинаций — это вдвое меньше пространства 6-значного пина. При тех же 3 попытках до блокировки 6-значный пин примерно вдвое надёжнее. Кроме того, цифры быстрее набираются на сенсорной клавиатуре, не требуют переключения раскладки и универсально доступны во всех системах.
6 цифр — это золотая середина: для современного смартфона, банковского приложения, мобильного банка, дверного замка офиса. Не используйте 6-значный пин в онлайн-сервисах без rate-limit — там нужен полноценный пароль. И никогда не используйте даты рождения, годовщины или последние цифры номера телефона — это первое, что попробует атакующий, знающий вас лично.