Non c'è un modo reale per farlo oltre a studiare un vero gruppo di numeri PIN scelti da un grande gruppo di persone e selezionando quelli più comuni da considerare deboli. Nella migliore delle ipotesi potresti usare una misura statistica di entropia dell'informazione , come l'entropia di Shannon o la probabilità di Markov, ma con tale una breve sequenza (4 cifre) è improbabile che possa ottenere qualsiasi tipo di risultato ragionevole.
Il problema è che stai tentando di modellare un problema umano in modo algoritmico, che raramente funziona senza set di dati molto grandi. L'entropia delle informazioni, di regola, non è misurabile direttamente a causa della definizione soggettiva di "informazione". L'informazione è un costrutto umano e l'identificazione di una sequenza di cifre come se avesse più informazioni rispetto ai suoi numeri componente è un processo umano.
Ad esempio, il numero 7777 contiene chiaramente un modello, ma 2701 sembra che non contenga alcun modello. Tuttavia, 2701 è in realtà il prodotto di due numeri primi, 37 e 73, che sono l'opposto l'uno dell'altro quando scritti nella base dieci. Se non lo sapessi, il codice PIN 2701 sembrerebbe privo di informazioni interessanti al di là delle sue singole cifre, ma una volta che sai che ha una composizione interessante ha improvvisamente più informazioni di quanto pensassi. Prima di leggere questa risposta il numero 2701 non avrebbe probabilmente alcun significato speciale per te, ma altri potrebbero aver conosciuto questa stranezza e averla vista come un modello. Non c'è un modo semplice per guardare qualcuno e sapere se sarebbero a conoscenza della composizione di questo numero, o che sarebbero anche interessati a questo, e tanto meno potenzialmente lo usano come PIN per qualcosa. Pertanto non è possibile determinare facilmente se vi sia una maggiore probabilità che usino quel numero.
Il problema è ulteriormente confuso dai problemi di individualità: il giorno e il mese del mio anniversario di matrimonio hanno significato per me, e certamente mia moglie, quindi sarebbe un'ipotesi per un aggressore che mi conosce, eppure quelle stesse cifre avrebbero nessun significato per qualcun altro. Di nuovo cade nella mentalità dell'individuo.
Questo è il problema chiave: non solo è difficile classificare ciò che costituisce un numero "significativo" al di là di alcune comuni comunanze universali, ma la risposta dipende anche dalla persona che ha inventato il numero e dalla capacità dell'aggressore per divinare il senso del significato di quella persona. Questo non è un problema matematico.
Puoi fare un ulteriore passo avanti. Diciamo che una grande banca perde accidentalmente l'elenco completo di tutti i numeri PIN usati dai loro clienti: solo i PIN, nessun nome associato o numero di conto. Esistono dieci milioni di record, quindi devi passare e trovare ogni PIN distinto da 0000 a 9999 e contare quante volte ciascuno viene utilizzato. Ora sai esattamente quanto frequentemente potrebbe verificarsi un determinato PIN. Questa è una ricerca interessante, quindi pubblichi il set di dati online, e lo fa ad alcuni siti di notizie dove spiegano cosa è successo e parla dei numeri PIN più comuni, ma parla anche dei numeri PIN meno comuni là fuori, incluso il minimo singolo numero PIN utilizzato di frequente. Pubblicando questo articolo, aggiungono automaticamente peso informativo a quei numeri, portando alcune persone a cambiare il loro numero PIN ed evitare numeri comuni, che cambia i risultati. Forse più persone scelgono i PIN dall'elenco dei PIN meno scelti, il che li rende più probabili da scegliere. Se conosci qualcuno che leggi l'articolo e cambia il PIN, vorrai controllare l'elenco dei PIN meno utilizzati in base a tale articolo.
Come puoi capire, il problema è complicato e non facilmente modellabile. Si basa su comportamenti umani individuali e scelte personali. Non esiste una misurazione statistica o empirica che si possa fare della forza di un PIN oltre a evitare modelli culturalmente comuni (1111, 1234, 6969, ecc.), E se si è arrivati a un modello efficace, si annullerebbe comunque.