Sichere Muster für die Smartphone-Displaysperre

Über ein Stärke-Meter könnte man Nutzern Feedback geben, wie sicher ihr Entsperrmuster ist. © RUB, AG Mobile Security (Dieses Bild darf nur für eine Berichterstattung mit Bezug zur Ruhr-Universität Bochum im Kontext dieser Presseinformation verwendet werden.)

Beliebte Muster leicht vorhersagbar

Wer bislang auf seinem Android-Smartphone ein neues Entsperrmuster einrichtet, erhält keine Rückmeldung zur Stärke des gewählten Codes. Verschiedene Forschungsgruppen haben vorgeschlagen, dem Nutzer über einen farbigen Balken entsprechendes Feedback zu geben.

„Die Konzepte für ein solches Stärke-Meter beruhen bislang alle auf visuellen Eigenschaften. Sie überprüfen zum Beispiel die Anzahl der Kreuzungen im Muster, den Startpunkt, die Länge oder ob es Überlappungen gibt“, erklärt Maximilian Golla, Doktorand in der Bochumer Arbeitsgruppe Mobile Security am Horst-Görtz-Institut für IT-Sicherheit.

Die aktuelle Studie zeigte jedoch, dass diese Parameter wenig mit der tatsächlichen Stärke des Entsperrmusters zusammenhängen. Denn unabhängig von der Komplexität des grafischen Codes kommt es auch darauf an, wie gut ein Angreifer die Abfolge erraten kann.

Mit den Android-Vorgaben sind auf dem Drei-mal-drei-Punkte-Feld prinzipiell 389.112 verschiedene Muster möglich. Nutzer haben jedoch bestimmte Vorlieben, tendieren etwa dazu, oben links zu beginnen und das Muster unten rechts enden zu lassen. „Das macht sie leicht vorhersagbar“, sagt Golla.

Neues Konzept für Stärke-Meter

Für rund 4.600 von Nutzern gewählte Entsperrmuster untersuchte das deutsch-amerikanische Team, ob die in der Theorie vorgeschlagenen Stärke-Meter die Muster als sicher oder unsicher einstufen würden. Im Anschluss ermittelten die Forscher, wie leicht sich die Muster tatsächlich erraten lassen würden. Dafür simulierten sie einen realistischen Angreifer, der seine Erfolgschancen steigert, indem er eine begrenzte Anzahl der beliebtesten Muster ausprobiert.

Neben dem Test der bisher vorgeschlagenen Stärke-Meter entwickelten die Forscher auch einen eigenen Vorschlag für ein Stärke-Meter. Dafür verwendeten sie ein Markov-Modell; es macht sich zunutze, dass Menschen aufeinanderfolgende Bestandteile eines Codes nicht unabhängig voneinander wählen. In Passwörtern kommen bestimmte Buchstabenkombinationen beispielsweise häufiger vor als andere; analog sind bestimmte Wege im Android-Entsperrmuster beliebter als andere.

Das Ergebnis der Analyse: Die bislang vorgeschlagenen Stärke-Meter geben nicht wieder, wie leicht ein Muster in der Praxis zu erraten wäre. Generell seien Stärke-Meter jedoch nützlich, weil ihre reine Anwesenheit die Nutzer motiviere, sich über den Code Gedanken zu machen, sagen die Forscher. „Wir würden es aber für sinnvoller halten, wenn die Stärke-Meter auf einem probabilistischen Ansatz wie dem hier vorgeschlagenen Markov-Modell basieren würden“, so Maximilian Golla.

Einfachste Muster verhindern

Die Wissenschaftler weisen jedoch darauf hin, dass es nicht förderlich sei, den Nutzer dazu zu bringen, das stärkst mögliche Muster einzugeben. Denn das Android-Betriebssystem begrenzt die Anzahl der möglichen Rateversuche, sodass übertriebene Sicherheit nicht notwendig ist.

„Stattdessen müssen wir verhindern, dass die Nutzer die am leichtesten zu erratenden Muster, etwa die L- oder Z-Form, verwenden“, sagt Golla. Wie das am besten klappen könnte, testet er mit seinen Kollegen derzeit.

In einer laufenden Nutzerstudie lassen die Forscher Teilnehmerinnen und Teilnehmer schätzen, wie sicher bestimmte Entsperrmuster ihrer Meinung nach sind. In einem nächsten Schritt wollen sie prüfen, wie diese Einschätzungen sinnvollerweise in ein Stärke-Meter einfließen könnten.

So wollen sie ein Meter konstruieren, das Nutzer intuitiver erscheint und damit zugänglicher ist. Um gleichzeitig die Sicherheit zu gewährleisten, denken die Forscher über eine Art Blacklist nach; diese würde beispielsweise die 200 häufigsten Muster enthalten. Gibt der Nutzer eines dieser Muster ein, würde das Smartphone ihn warnen.

Maximilian Golla
Arbeitsgruppe Mobile Security
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: 0234 32 28667
E-Mail: maximilian.golla@rub.de

Maximilian Golla, Jan Rimkus, Adam J. Aviv, Markus Dürmuth: On the in-accuracy and influence of Android pattern strength meters, Workshop on Usable Security and Privacy (USEC), San Diego, USA, 2019, https://www.mobsec.ruhr-uni-bochum.de/forschung/veroeffentlichungen/accuracy-and…

Media Contact

Dr. Julia Weiler idw - Informationsdienst Wissenschaft

Alle Nachrichten aus der Kategorie: Informationstechnologie

Neuerungen und Entwicklungen auf den Gebieten der Informations- und Datenverarbeitung sowie der dafür benötigten Hardware finden Sie hier zusammengefasst.

Unter anderem erhalten Sie Informationen aus den Teilbereichen: IT-Dienstleistungen, IT-Architektur, IT-Management und Telekommunikation.

Zurück zur Startseite

Kommentare (0)

Schreiben Sie einen Kommentar

Neueste Beiträge

Neuartige Speziallipide für RNA-Medikamente entwickeln

Millionen-Förderung für Forschungsverbund zur RNA-Medizin Bundeswirtschaftsministerium fördert die Universität und eine Ausgründung mit 3,6 Mio. Euro. Das Bundeswirtschaftsministerium fördert seit Januar 2023 ein Verbundprojekt zur Erforschung effizienter und sicherer Speziallipide…

Biologische Muster: Von intrazellulären Strömungen dirigiert

LMU-Physiker zeigen, wie Flüssigkeitsströmungen die Bildung komplexer Muster beeinflussen. Die Bildung von Mustern ist ein universelles Phänomen, das fundamentalen Prozessen in der Biologie zugrunde liegt. So positionieren und steuern zum…

Tiefsee-Test am Titanic-Wrack

Neue Technologie könnte Videokommunikation stark verbessern. Forschende erproben neuartige Übertragungsmethode unter extremen Bedingungen mit niedriger Bandbreite bei Tauchgang zum versunkenen Ozean-Riesen. Um eine neuentwickelte Technologie zu testen, mit der Videokonferenzen…

Partner & Förderer