Nedělejte to zlodějům tak snadné a nastavte si k platební kartě normální PIN. Nejhorší kombinace jsou vyloženě zarážející

Téměř každý desátý člověk používá jako čtyřciferný PIN kombinaci 1234. A dalších devět nejčastějších kódů je stejně předvídatelných.

Zdroj fotografie: Pexels

Australská redakce ABC News si na začátku roku 2025 vzala databázi Have I Been Pwned, službu, která shromažďuje hesla a kódy uniklé při bezpečnostních průnicích nejrůznějších online služeb, a vytáhla z ní 29 milionů čtyřciferných numerických kódů. Výsledek je zarážející nejen proto, kolik lidí volí totožné kombinace, ale hlavně proto, jak málo pokusů by útočníkovi stačilo k úspěchu. Deset nejhorších PINů dohromady pokrývá přes 14 % všech analyzovaných záznamů. Zlodějovi, který ukradne kartu nebo telefon, tak stačí začít několika očividnými kombinacemi a statistika hraje v jeho prospěch. Přitom „normální PIN“ neznamená nic složitého. Stačí, aby nebyl v žádném z opakujících se vzorců, které lidé volí znovu a znovu.

Kompletní žebříček deseti nejčastějších PINů

Tady je seznam, který by měl každého přimět podívat se na vlastní kartu a telefon:

Pořadí	PIN	Podíl v datech
1.	1234	9,0 %
2.	1111	1,6 %
3.	0000	1,1 %
4.	1342	0,6 %
5.	1212	0,4 %
6.	2222	0,3 %
7.	4444	0,3 %
8.	1122	0,3 %
9.	1986	0,3 %
10.	2020	0,3 %

Samotná jednička 1234 pokrývá devět procent. To je téměř každý jedenáctý kód v celém datasetu. Sečtením prvních tří (1234, 1111, 0000) dostaneme 11,7 %. Prvních pět PINů dohromady znamená 12,7 %. Jinými slovy: útočník, který zkusí pět nejběžnějších kombinací, má zhruba šanci jedna ku osmi, že trefí správný kód. A to z teoretických deseti tisíc možností.

Důležitá poznámka k původu dat: nejde o uniklé PINy přímo od bank. ABC News čerpala přes API služby Have I Been Pwned, která eviduje hesla a kódy z nejrůznějších úniků. Sama ABC upozorňuje, že dataset pravděpodobně obsahuje duplicity. Lidské návyky při volbě čtyřciferného kódu jsou ale univerzální – ať už jde o zámek telefonu, PIN k aplikaci nebo kód ke kartě. Vzorce se opakují.

Proč právě tyto kombinace a co je na nich tak předvídatelného

V první desítce se prolínají čtyři základní vzorce, které lidský mozek považuje za „snadno zapamatovatelné“:

• Jednoduché řady: 1234 je učebnicový příklad, ale v širším top 50 najdete i 4321 nebo 2468.
• Opakování a dvojice: 1111, 0000, 2222, 4444, ale i 1212 nebo 1122. Mozek si je pamatuje snadno, útočník je tipuje ještě snáze.
• Roky a data: 1986 na devátém místě není náhoda. V top 50 se opakují letopočty 1973 až 2005. Kdo použije svůj rok narození, dává útočníkovi vodítko, které si často lze ověřit na sociálních sítích.
• Pseudochytré variace: 1342 na čtvrtém místě překvapí. ABC to vysvětluje jednoduše: lidé se snaží být “chytří” a čísla z 1234 jen lehce promíchají. Výsledek je ale natolik častý, že tím bezpečnost nezlepšují.

Zvláštní kategorii tvoří obrazce na numerické klávesnici. Kombinace 2580, tedy svislý středový sloupec, se v širším žebříčku drží vysoko. Vypadá náhodně, ale při pohledu na klávesnici bankomatu je vzorec zřejmý.

Problém tedy není čtyřmístný formát sám o sobě. Deset tisíc kombinací by při náhodném výběru útočníkovi dávalo mizivou šanci: tři pokusy z deseti tisíc znamenají 0,03 %. Jenže lidé nevolí náhodně. A právě tato předvídatelnost mění čtyřmístný PIN z rozumného zabezpečení v otevřené dveře.

Český kontext: slabý PIN není jen teorie

Kdo si říká, že jde o abstraktní statistiku z druhého konce světa, měl by vědět, co se dělo v Česku. V srpnu 2024 popsal ESET malware NGate, který cílil na klienty tří českých bank. Útočníci přes podvodné stránky a sociální inženýrství získali od obětí bankovní přihlašovací údaje, datum narození i PIN ke kartě. Následně přes NFC relé na infikovaném telefonu prováděli neoprávněné výběry z bankomatů. Znalost PINu byla klíčovým článkem celého řetězce.

Podobně NÚKIB opakovaně varuje před vishingem, kdy se volající vydává za bankéře a požaduje číslo karty, PIN i přihlašovací údaje. Pravidlo je jednoduché: banka po telefonu nikdy nechce PIN ani CVV/CVC kód. Kdo ho prozradí, dává útočníkovi přesně to, co potřebuje – a slabý, snadno uhodnutelný PIN celou situaci ještě zhoršuje.

České banky přitom reagují na opakované chybné pokusy různě. Air Bank po pěti špatných zadáních zablokuje použití karty s PINem do konce týdne, bezkontaktní platby do 500 Kč ale zůstávají aktivní. Komerční banka kartu po sérii chybných pokusů zablokuje automaticky. Pět pokusů zní jako málo, jenže jak ukazují data ABC, právě pět nejčastějších PINů dává útočníkovi šanci jedna ku osmi.

Jak si zvolit co nejlepší PIN

Normální PIN se nejlépe definuje tím, čím není. Není v žebříčku nejčastějších. Není to rok narození, výročí ani žádné datum ve formátu DDMM nebo MMDD. Není to opakování jedné číslice. Není to řada typu 1234 nebo 4321. Není to obrazec na klávesnici. A není to ani „chytrá“ obměna některého z těchto vzorců, například 1342.

Praktická pravidla pro volbu:

• Vyberte čtyři číslice, které spolu nemají zjevný vztah a nejsou spojitelné s vaším datem narození, adresou ani telefonním číslem.
• Nepoužívejte stejný PIN pro kartu, telefon a bankovní aplikaci. Pokud útočník získá jeden, nesmí mu otevřít přístup ke všemu.
• Změna PINu ke kartě je záležitost minut. U Air Bank nebo MONETA stačí zajít k libovolnému bankomatu. V aplikaci MONETA Smart Banka si PIN zobrazíte přímo; při zapomenutí stačí zařízení odregistrovat a znovu aktivovat.
• Pokud máte podezření na zneužití, kartu zablokujte okamžitě v mobilní aplikaci nebo internetovém bankovnictví. Všechny velké české banky to umožňují.

Jak se změnila lidská předvídatelnost za 13 let

Zajímavé je srovnání s analýzou Nicka Berryho z roku 2012, která pracovala s 3,4 milionu PINů. Tehdy 1234 tvořil 10,7 %, dnes je to 9 %. Kód 1111 klesl z 6 % na 1,6 %. Zdánlivě pokrok.

Jenže koncentrace se spíše rozptýlila do širšího spektra slabých PINů: v Berryho datech pokrývalo top 20 kódů 26,8 % všech záznamů, v aktuální analýze ABC je to přibližně 16,5 %. Lidé se tedy částečně odklonili od nejzjevnějších voleb, ale přesunuli se k letopočtům, dvojicím a pseudochytrým variacím, které jsou pro útočníka stále snadno čitelné.

Čtyřciferný PIN zůstává rozumným zabezpečením. Ale jen tehdy, když ho zvolíte tak, aby nebyl v hlavě nikoho dalšího.