Auf Android-Geräten können Nutzerinnen und Nutzer das Display durch die Eingabe eines Musters entsperren. Diese Funktion ist komfortabel und daher beliebt – allerdings unsicherer als die Sperre mit einer PIN. Ein internationales Forschungsteam empfiehlt daher, auf Android-Geräten eine Sperrliste zu implementieren, die die 100 beliebtesten und somit am leichtesten zu erratenden Muster verbietet. Wie genau diese gestaltet sein müsste, hat ein Team vom Horst-Görtz-Institut (HGI) für IT-Sicherheit der Ruhr-Universität Bochum zusammen mit Kollegen von The George Washington University und der United States Navy untersucht.
Die Ergebnisse stellen Philipp Markert vom HGI und das Team um Prof. Dr. Adam Aviv von The George Washington University auf dem USENIX Symposium on Usable Privacy and Security vor, das vom 8. bis 10. August als virtuelle Tagung stattfindet. Die Daten sind vorab als frei zugänglicher Preprint verfügbar.
So sehen die beliebtesten Android-Muster aus
"Während eine vierstellige PIN 10.000 verschiedene Kombinationen ermöglicht, können die Android-Muster, die auf einem Drei-mal-drei-Grid eingezeichnet werden, theoretisch 389.112 Varianten annehmen", erklärt Collins Munyendo, Erstautor der Publikation von The George Washington University. "Diese Möglichkeiten nutzen die Anwenderinnen und Anwender allerdings nicht aus." In dem Sprachraum, in dem von oben links nach unten rechts gelesen wird, sind Muster in Form von Buchstaben – etwa ein Z, L oder W – besonders beliebt. Rund 49 Prozent aller Muster starten oben links; 32,5 Prozent enden unten rechts – das macht es Angreiferinnen und Angreifern leichter, ein Muster zu erraten.
Verschiedene Sperrlisten im Test
In der aktuellen Online-Studie testete das Forschungsteam, wie sich unterschiedlich lange Sperrlisten auf die Sicherheit und Nutzbarkeit auswirken. Sie ließen 1.006 Personen ein neues Entsperrmuster aussuchen. Ein Teil der Teilnehmenden konnte aus allen theoretisch denkbaren Möglichkeiten wählen (Kontrollgruppe); für die anderen fünf Gruppen waren gewisse Muster ausgeschlossen, wobei fünf unterschiedlich umfangreiche Sperrlisten zum Einsatz kamen. Wählte ein User ein gesperrtes Muster, erhielt er eine Warnung angezeigt und musste ein neues Muster eingeben.
Welche die beliebtesten Android-Muster sind, hatten die Forschenden in einer früheren Studie ermittelt. Die kürzeste der fünf getesteten Sperrlisten enthielt die zwölf beliebtesten Muster aus der Vorgängerstudie, die längste Sperrliste die 581 beliebtesten Muster.
Sperrliste mit 100 Mustern empfohlen
"Die mittellange Liste mit 100 gesperrten Mustern ist der beste Kompromiss zwischen Sicherheit und Nutzbarkeit", sagt Miles Grant von The George Washington University. Mit dieser Sperrliste brauchten Userinnen und User durchschnittlich 19 Sekunden, um ein nicht gesperrtes Muster auszusuchen. Zum Vergleich: In der Kontrollgruppe wurde ein Muster in 13 Sekunden gewählt. War ein Muster einmal ausgesucht, konnten es sich die User gut merken: 99,54 Prozent erinnerten sich richtig an das zuvor gesetzte Muster, in der Kontrollgruppe waren es 100 Prozent.
Sicherheit steigt selbst bei kürzester Sperrliste
Die Forschenden überprüften auch, wie sehr sich die Sperrlisten auf die Sicherheit der Muster auswirkten. Sie simulierten, wie leicht ein Angreifer ein Muster eines gestohlenen Handys erraten könnte. Ohne Sperrliste lagen die Erfolgschancen nach 30 Rate-Versuchen bei 23,7 Prozent. Mit der längsten Sperrliste bei 2,3 Prozent. Die empfohlene Liste mit 100 gesperrten Mustern reduzierte die Erfolgschancen auf etwa 7,5 Prozent.
"Eine Sperrliste mit 100 Einträgen würde die Sicherheit also schon deutlich erhöhen, aber den Nutzern nur wenig mehr Aufwand bei der Einrichtung bereiten", resümiert Philipp Markert. "Das Layout des Drei-mal-drei-Grids, das die User kennen und mögen, würde unverändert bleiben." Im Gegensatz dazu beinhalteten andere Ideen für mehr Sicherheit von Android-Mustern ein Vier-mal-vier-Grid oder eine zufällige Anordnung der Grid-Punkte auf dem Display.
Förderung
Die Arbeiten wurden unterstützt von der National Science Foundation (Grantnummer 1845300), dem Land NRW im Rahmen der Forschungsgruppe "Human Centered Systems Security" und der Deutschen Forschungsgemeinschaft im Rahmen des Exzellenzclusters Cyber Security in the Age of Large-Scale Adversaries, CASA (EXC 2092 – 390781972).
Originalveröffentlichung
Collins W. Munyendo, Miles Grant, Philipp Markert, Timothy J. Forman, Adam J. Aviv: Using a blocklist to improve the security of user selection of Android patterns, USENIX Symposium on Usable Privacy and Security (SOUPS), 2021, Virtual Conference, Download Preprint
Pressekontakt
Philipp Markert
Arbeitsgruppe Mobile Security
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: +49 234 32 28669
E-Mail: philipp.markert(at)rub.de
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.