Gebruikers van Android-apparaten kunnen het scherm ontgrendelen door een patroon in te voeren. Deze functie is handig en dus populair, maar minder veilig dan vergrendelen met een pincode. Een internationaal onderzoeksteam beveelt daarom aan om een ​​blokkeerlijst op Android-apparaten te implementeren die de 100 populairste patronen verbiedt, die dus het gemakkelijkst te raden zijn. Hoe dit precies tot stand moet komen, heeft Philipp Markert van het Horst Görtz Institute for IT Security aan de Ruhr-Universität Bochum samen met collega's van The George Washington University en de United States Navy onderzocht.

Het team onder leiding van professor Adam Aviv van de George Washington University zal de resultaten presenteren op het USENIX Symposium on Usable Privacy and Security, dat van 8 tot 10 augustus plaatsvindt als een virtuele conferentie. De gegevens zijn vooraf als vrij toegankelijke preprint beschikbaar.

Hoe de populairste Android-patronen eruitzien

"Hoewel de viercijferige pincode gebruikers 10.000 verschillende combinaties mogelijk maakt, kunnen er in theorie 389.112 versies van de Android-patronen zijn die op een raster van drie bij drie worden getekend", legt Collins Munyendo uit, eerste auteur van de publicatie van The George Washington University . "Gebruikers maken echter niet optimaal gebruik van deze opties." In delen van de wereld waar mensen van linksboven naar rechtsonder lezen, zijn patronen in de vorm van letters, zoals een Z, L of W, bijzonder populair. Ongeveer 49 procent van alle patronen begint linksboven; 32,5 procent eindigt rechtsonder - dit maakt het voor aanvallers gemakkelijker om een ​​patroon te raden.

Verschillende blokkeerlijsten op de proef gesteld

In het huidige online onderzoek heeft het onderzoeksteam getest hoe blokkeerlijsten van verschillende lengtes de veiligheid en bruikbaarheid beïnvloeden. Ze lieten 1.006 mensen een nieuw ontgrendelingspatroon kiezen. Een deel van de deelnemers kon kiezen uit alle theoretisch denkbare mogelijkheden (controlegroep); bepaalde patronen werden uitgesloten voor de andere vijf groepen, waarbij vijf bloklijsten van verschillende lengte werden gebruikt. Als een gebruiker een patroon op de geblokkeerde lijst selecteerde, kreeg hij een waarschuwing te zien en moest hij een nieuw patroon invoeren.

De onderzoekers hadden in een eerder onderzoek vastgesteld wat de populairste Android-patronen waren. De kortste van de vijf geteste blokkeerlijsten bevatte de twaalf populairste patronen uit het vorige onderzoek, de langste blokkeerlijst bevatte de 581 populairste patronen.

Bloklijst met 100 aanbevolen patronen

"De middellange lijst met 100 geblokkeerde patronen is het beste compromis tussen veiligheid en bruikbaarheid", vat Miles Grant van The George Washington University samen. Met deze blokkeerlijst hadden gebruikers gemiddeld 19 seconden nodig om een ​​niet-geblokkeerd patroon te selecteren. Ter vergelijking:in de controlegroep werd in 13 seconden een patroon geselecteerd. Nadat een patroon was gekozen, konden de gebruikers het goed onthouden:99,54 procent herinnerde zich het patroon dat ze hadden ingesteld correct, terwijl het cijfer 100 procent was in de controlegroep.

Beveiliging neemt toe, zelfs met de kortste blokkeerlijst

De onderzoekers gingen ook na in hoeverre de blokkeerlijsten de veiligheid van de patronen aantasten. Ze simuleerden hoe gemakkelijk een aanvaller het patroon van een gestolen mobiele telefoon kon raden. Zonder blokkeerlijst was de kans op succes 23,7 procent na 30 gispogingen. Met de langste blokkeerlijst was dat 2,3 procent. De aanbevolen lijst met 100 geblokkeerde patronen verminderde de kans op succes tot ongeveer 7,5 procent.

"Een blokkeerlijst met 100 vermeldingen zou de veiligheid dus al aanzienlijk verhogen, maar vergt weinig extra inspanning van gebruikers tijdens de installatie", vat Philipp Markert samen. "De lay-out met drie bij drie rasters, die gebruikers kennen en leuk vinden, zou ongewijzigd blijven." In tegenstelling hiermee waren andere ideeën om de beveiliging van Android-patronen te verbeteren een raster van vier bij vier of een willekeurige rangschikking van de rasterpunten op het scherm.