Sichere Muster für die Smartphone-Displaysperre
Beliebte Muster leicht vorhersagbar
Wer bislang auf seinem Android-Smartphone ein neues Entsperrmuster einrichtet, erhält keine Rückmeldung zur Stärke des gewählten Codes. Verschiedene Forschungsgruppen haben vorgeschlagen, dem Nutzer über einen farbigen Balken entsprechendes Feedback zu geben.
„Die Konzepte für ein solches Stärke-Meter beruhen bislang alle auf visuellen Eigenschaften. Sie überprüfen zum Beispiel die Anzahl der Kreuzungen im Muster, den Startpunkt, die Länge oder ob es Überlappungen gibt“, erklärt Maximilian Golla, Doktorand in der Bochumer Arbeitsgruppe Mobile Security am Horst-Görtz-Institut für IT-Sicherheit.
Die aktuelle Studie zeigte jedoch, dass diese Parameter wenig mit der tatsächlichen Stärke des Entsperrmusters zusammenhängen. Denn unabhängig von der Komplexität des grafischen Codes kommt es auch darauf an, wie gut ein Angreifer die Abfolge erraten kann.
Mit den Android-Vorgaben sind auf dem Drei-mal-drei-Punkte-Feld prinzipiell 389.112 verschiedene Muster möglich. Nutzer haben jedoch bestimmte Vorlieben, tendieren etwa dazu, oben links zu beginnen und das Muster unten rechts enden zu lassen. „Das macht sie leicht vorhersagbar“, sagt Golla.
Neues Konzept für Stärke-Meter
Für rund 4.600 von Nutzern gewählte Entsperrmuster untersuchte das deutsch-amerikanische Team, ob die in der Theorie vorgeschlagenen Stärke-Meter die Muster als sicher oder unsicher einstufen würden. Im Anschluss ermittelten die Forscher, wie leicht sich die Muster tatsächlich erraten lassen würden. Dafür simulierten sie einen realistischen Angreifer, der seine Erfolgschancen steigert, indem er eine begrenzte Anzahl der beliebtesten Muster ausprobiert.
Neben dem Test der bisher vorgeschlagenen Stärke-Meter entwickelten die Forscher auch einen eigenen Vorschlag für ein Stärke-Meter. Dafür verwendeten sie ein Markov-Modell; es macht sich zunutze, dass Menschen aufeinanderfolgende Bestandteile eines Codes nicht unabhängig voneinander wählen. In Passwörtern kommen bestimmte Buchstabenkombinationen beispielsweise häufiger vor als andere; analog sind bestimmte Wege im Android-Entsperrmuster beliebter als andere.
Das Ergebnis der Analyse: Die bislang vorgeschlagenen Stärke-Meter geben nicht wieder, wie leicht ein Muster in der Praxis zu erraten wäre. Generell seien Stärke-Meter jedoch nützlich, weil ihre reine Anwesenheit die Nutzer motiviere, sich über den Code Gedanken zu machen, sagen die Forscher. „Wir würden es aber für sinnvoller halten, wenn die Stärke-Meter auf einem probabilistischen Ansatz wie dem hier vorgeschlagenen Markov-Modell basieren würden“, so Maximilian Golla.
Einfachste Muster verhindern
Die Wissenschaftler weisen jedoch darauf hin, dass es nicht förderlich sei, den Nutzer dazu zu bringen, das stärkst mögliche Muster einzugeben. Denn das Android-Betriebssystem begrenzt die Anzahl der möglichen Rateversuche, sodass übertriebene Sicherheit nicht notwendig ist.
„Stattdessen müssen wir verhindern, dass die Nutzer die am leichtesten zu erratenden Muster, etwa die L- oder Z-Form, verwenden“, sagt Golla. Wie das am besten klappen könnte, testet er mit seinen Kollegen derzeit.
In einer laufenden Nutzerstudie lassen die Forscher Teilnehmerinnen und Teilnehmer schätzen, wie sicher bestimmte Entsperrmuster ihrer Meinung nach sind. In einem nächsten Schritt wollen sie prüfen, wie diese Einschätzungen sinnvollerweise in ein Stärke-Meter einfließen könnten.
So wollen sie ein Meter konstruieren, das Nutzer intuitiver erscheint und damit zugänglicher ist. Um gleichzeitig die Sicherheit zu gewährleisten, denken die Forscher über eine Art Blacklist nach; diese würde beispielsweise die 200 häufigsten Muster enthalten. Gibt der Nutzer eines dieser Muster ein, würde das Smartphone ihn warnen.
Maximilian Golla
Arbeitsgruppe Mobile Security
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: 0234 32 28667
E-Mail: maximilian.golla@rub.de
Maximilian Golla, Jan Rimkus, Adam J. Aviv, Markus Dürmuth: On the in-accuracy and influence of Android pattern strength meters, Workshop on Usable Security and Privacy (USEC), San Diego, USA, 2019, https://www.mobsec.ruhr-uni-bochum.de/forschung/veroeffentlichungen/accuracy-and…
Media Contact
Alle Nachrichten aus der Kategorie: Informationstechnologie
Neuerungen und Entwicklungen auf den Gebieten der Informations- und Datenverarbeitung sowie der dafür benötigten Hardware finden Sie hier zusammengefasst.
Unter anderem erhalten Sie Informationen aus den Teilbereichen: IT-Dienstleistungen, IT-Architektur, IT-Management und Telekommunikation.
Neueste Beiträge
Selen-Proteine …
Neuer Ansatzpunkt für die Krebsforschung. Eine aktuelle Studie der Uni Würzburg zeigt, wie ein wichtiges Enzym in unserem Körper bei der Produktion von Selen-Proteinen unterstützt – für die Behandlung von…
Pendler-Bike der Zukunft
– h_da präsentiert fahrbereiten Prototyp des „Darmstadt Vehicle“. Das „Darmstadt Vehicle“, kurz DaVe, ist ein neuartiges Allwetter-Fahrzeug für Pendelnde. Es ist als schnelle und komfortable Alternative zum Auto gedacht, soll…
Neuartige Methode zur Tumorbekämpfung
Carl-Zeiss-Stiftung fördert Projekt der Hochschule Aalen mit einer Million Euro. Die bisherige Krebstherapie effizienter gestalten bei deutlicher Reduzierung der Nebenwirkungen auf gesundes Gewebe – dies ist das Ziel eines Projekts…