Hvordan Android-oplåsningsmønstre kunne gøres mere sikre

Brugere af Android-enheder kan låse skærmen op ved at indtaste et mønster. Denne funktion er praktisk og derfor populær - dog mindre sikker end at låse med en PIN-kode. Et internationalt forskerhold anbefaler således at implementere en blokeringsliste på Android-enheder, der forbyder de 100 mest populære mønstre, som dermed er de nemmeste at gætte. Præcis hvordan dette skal skabes, er blevet undersøgt af Philipp Markert fra Horst Görtz Institute for IT Security ved Ruhr-Universität Bochum sammen med kolleger fra The George Washington University og den amerikanske flåde.

Holdet ledet af professor Adam Aviv fra The George Washington University vil præsentere resultaterne på USENIX Symposium on Usable Privacy and Security, som finder sted fra 8. til 10. august som en virtuel konference. Dataene er tilgængelige på forhånd som et frit tilgængeligt fortryk.

Sådan ser de mest populære Android-mønstre ud

"Mens den firecifrede PIN-kode tillader brugere 10.000 forskellige kombinationer, kan der teoretisk være 389.112 versioner af Android-mønstrene, der er tegnet på et tre-til-tre-gitter," forklarer Collins Munyendo, førsteforfatter til publikationen fra The George Washington University . "Brugerne får dog ikke det bedste ud af disse muligheder." I dele af verden, hvor folk læser fra øverst til venstre til nederst til højre, er mønstre i form af bogstaver - såsom et Z, L eller W - særligt populære. Omkring 49 procent af alle mønstre starter øverst til venstre; 32,5 procent ender nederst til højre – dette gør det nemmere for angribere at gætte et mønster.

Forskellige blokeringslister sat på prøve

I den aktuelle online undersøgelse testede forskerholdet, hvordan bloklister af forskellig længde påvirker sikkerhed og brugervenlighed. De fik 1.006 personer til at vælge et nyt oplåsningsmønster. Nogle af deltagerne kunne vælge fra alle teoretisk tænkelige muligheder (kontrolgruppe); visse mønstre blev udelukket for de andre fem grupper, hvorved fem bloklister af forskellig længde blev brugt. Hvis en bruger valgte et bloklistet mønster, blev vedkommende vist en advarsel og skulle indtaste et nyt mønster.

Forskerne havde i en tidligere undersøgelse identificeret, hvilke var de mest populære Android-mønstre. Den korteste af de fem testede blokeringslister indeholdt de tolv mest populære mønstre fra den tidligere undersøgelse, den længste blokeringsliste indeholdt de 581 mest populære mønstre.

Blokeringsliste med 100 mønstre anbefales

"Den mellemlange liste med 100 bloklistede mønstre er det bedste kompromis mellem sikkerhed og brugervenlighed," opsummerer Miles Grant fra The George Washington University. Med denne blokliste tog brugere i gennemsnit 19 sekunder at vælge et ikke-bloklistet mønster. Til sammenligning:et mønster blev udvalgt på 13 sekunder i kontrolgruppen. Når et mønster var blevet valgt, kunne brugerne godt huske det:99,54 procent huskede korrekt det mønster, de havde sat, mens tallet var 100 procent i kontrolgruppen.

Sikkerheden øges, selv med den korteste blokeringsliste

Forskerne verificerede også, i hvilket omfang bloklisterne påvirkede mønstrenes sikkerhed. De simulerede, hvor let en angriber kunne gætte mønsteret af en stjålet mobiltelefon. Uden en blokeringsliste var chancen for succes 23,7 procent efter 30 forsøg på gæt. Med den længste blokeringsliste var det 2,3 pct. Den anbefalede liste med 100 bloklistede mønstre reducerede chancerne for succes til omkring 7,5 procent.

"En blokliste med 100 poster ville således allerede øge sikkerheden markant, men kræve lidt ekstra indsats fra brugerne under opsætningen," opsummerer Philipp Markert. "Layoutet med tre-til-tre-gitter, som brugerne kender og kan lide, ville forblive uændret." I modsætning til dette omfattede andre ideer til at forbedre sikkerheden af ​​Android-mønstre et fire-til-fire-gitter eller et tilfældigt arrangement af gitterpunkterne på skærmen.