Dipende da come viene immesso questo codice, se si tratta di un tipo un codice in una scatola da una tastiera di un computer o un tipo di codice su una tastiera fisica che richiede un utente per forzarlo fisicamente.
Se ha lo scopo di essere attaccato da un computer, un pin numerico di sei cifre potrebbe essere spezzato in pochi minuti, 6 cifre danno 1111110 combinazioni di password, a 766 chiavi al secondo, il tuo pin è rotto in 24 minuti, a 4 cifre è 14 secondi. Puoi eseguire numeri da solo con questa calcolatrice per darti un'idea link
Con l'ingresso fisico è molto più impegnativo il tempo e un umano si arrenderà molto prima che un computer lo faccia. È necessario disporre di una sorta di blocco dopo più tentativi falliti, come fanno gli ATM, in genere bloccando l'accesso dopo tre tentativi. Quindi, non è necessariamente la lunghezza che è estremamente importante al di là del banalmente ipotetico, cioè dovrebbe essere almeno quattro o più. Le possibilità di colpire un codice a 4 cifre in tre ipotesi sono estremamente ridotte, quindi qualcosa nel range di 4 - 8 che avrei pensato avrebbe dovuto soddisfare la tua applicazione offrendo un PIN difficile da indovinare con uno sforzo minimo per entrare.