Bankomati su utjelovljenje tehnologije stare nekoliko desetljeća. Četveroznamenkasti osobni identifikacijski broj, to jest PIN? Naizgled tako primitivan sigurnosni sustav. Gdje su tu velika i mala slova te interpunkcijski znakovi za koje nas neprestano upozoravaju da su ključni želimo li da naša lozinka bude nedokučiva hakerima?

Zapravo su ti četveroznamenkasti brojevi koje koristimo na bankomatima samo jedna sastavnica iznimno otpornog sigurnosnog modela kojega većina suvremenih web stranica ne uspijeva replicirati. Razmislite malo: za bankomat vam treba i fizička kartica i ispravan PIN. Web stranice trebale bi poštivati to općenito načelo zahtjeva dvaju potpuno različitih stvari prije dozvole pristupa. Nakon ispravne lozinke, ta druga stvar mogla bi biti kod koji vam stižem putem sms poruke ili telefonskim pozivom. Tako bi lopovima krađa vaše lozinke postala sasvim beskorisna, osim u slučaju da imaju i vaš mobilni uređaj.Da se ovaj sustav verifikacije u dva koraka, lozinkom i mobitelom, koristi na svim web stranicama s ograničenim pristupom, lozinke ne bi morale biti tako dugačke i složene. No mnogi korisnici interneta imaju lozinke koje je jednostavno pogoditi, a stranice imaju verifikaciju koja se sastoji od samo jednog koraka, što nije nimalo razborito.

Nick Berry, predsjednik konzultantske kuće DanaGenrics iz Seattlea analizira velike baze podataka lozinki koje su hakeri provalili te tako pristupili web stranicama, a kasnije te lozinke javno objavili. Od 30,3 milijuna lozinki, njih 3,4 milijuna sadržavalo je samo četiri znamenke. Određene četveroznamenkaste lozinke puno su popularnije  od ostalih: "1234" čini gotovo 11 posto takvih lozinki, a "1111" dodatnih 6 posto. Obrasci u kojima se određene stvari ponavljaju također su vrlo česti. U donjem dijelu popisa nalaze se brojke vezane uz godinu rođenja ili kombinacija datuma rođenja. Možemo nagađati jesu li neke četveroznamenkaste lozinke koje nalazimo u bazama podataka o lozinkama za web stranice prvotno zamišljene kao PIN brojevi za bankomate. Ali možda je riječ i o PIN-u za otključavanje pametnog telefona. Tako Barry navodi da je vrlo često nailazio na nešto što naziva "prstošetnjom" na tipkovnici, pri čemu slijed brojeva potječe od geometrijskog uzorka, na primjer "2580" kojega dobijete pritiskom na tipke smještene jedna ispod druge na mobilnom uređaju. Klijenti banaka koji odaberu svoju godinu rođenja za PIN ne izlažu time novac riziku.

Naime, lopov koji ukrade lisnicu s karticom za bankomat morao bi pogoditi ispravan PIN, i to iz samo tri pokušaja. U suprotnom dolazi do zaključavanja računa od strane sustava. A čak i da mu to pođe za rukom, u namjeri bi ga spriječio najveći dozvoljeni dnevni iznos isplate. Međutim, kada taj kratki PIN upotrijebite kao lozinku za internetske stranice, dakle bez ikakvog drugog dijela verifikacije, učinili ste najveću moguću pogrešku, osim ako ste za lozinku odabrali riječ "lozinka"."Nije najpametnije koristiti PIN s bankomata u kontekstu internetskog svijeta", kaže Marty Jost, menadžer za marketing proizvoda u poduzeću za računalnu sigurnost Symantec. "Uporaba PIN-a koji je lako pamtljiv također nije dobra odluka jer ga je jednako lako i pogoditi." Jost smatra da bi web stranice trebale upotrebljavati višestruke slojeve sigurnosti "jer tako lozinka ne bi bila jedini mehanizam potvrde autentičnosti". Korisnici Gmaila i ostalih Googelovih servisa, PayPala i Dropboxa mogu odabrati verifikacijski sustav u dva koraka žele li noću mirno spavati.

Randall Stross profesor je poslovanja na kalifornijskom sveučilištu San Jose State University i autor knjige "The Launch Pad"