Wie sicher Knock Codes für die Smartphone-Displaysperre sind

Philipp Markert forscht in der Arbeitsgruppe Mo­bi­le Se­cu­ri­ty am Bochumer Horst-Görtz-Institut für IT-Sicherheit. © RUB, Marquard

„Unsere Analyse widerlegt das Werbeversprechen von LG, in dem in Bezug auf die Knock Codes von ‚perfect security‘ die Rede ist“, sagt Philipp Markert von der Bochumer Arbeitsgruppe Mobile Security am HGI. Er kooperierte für die Studie mit Raina Samuel und Prof. Dr. Iulian Neamtiu vom New Jersey Institute of Technology sowie Prof. Dr. Adam Aviv von der George Washington University.

Entsperrt ein Nutzer sein Handy mittels eines Knock Codes, bekommt er zwei mal zwei Felder angezeigt, die in einer bestimmten Sequenz angetippt werden müssen. Die Sequenz muss mindestens sechs und kann maximal zehn Tipper lang sein.

Schätzungen zufolge wird diese Technik in den USA aktuell von 700.000 bis 2,5 Millionen Menschen verwendet. Das Forschungsteam untersuchte, wie leicht ein Angreifer, der ein fremdes Smartphone in seinen Besitz gebracht hat, ein Tippmuster erraten könnte.

Algorithmus errät Codes

In einer Online-Studie dachten sich 351 Teilnehmerinnen und Teilnehmer aus den USA einen Knock Code aus. Anschließend beantworteten sie einige Fragen, zum Beispiel zur empfundenen Sicherheit des Codes, den sie nach etwa fünf Minuten erneut eingeben mussten.

Dann analysierten die IT-Sicherheitsforscher, wie schnell ein Computeralgorithmus die vergebenen Knock Codes erraten konnte. Den Algorithmus hatten sie zuvor unter anderem mit Knock Codes trainiert, die sie in einer Vorstudie erhoben hatten. Anhand der Trainingsdaten lernte der Algorithmus die Vorlieben der Nutzer bei der Knock-Code-Wahl und probierte später beim Erraten der Codes besonders beliebte Elemente zuerst aus.

„65 Prozent der Nutzerinnen und Nutzer begannen den Code oben links, von diesen wiederum wählte ein Großteil als nächstes das Feld oben rechts“, erklärt Philipp Markert. „Das hat sicher mit den Lesegewohnheiten in der westlichen Welt zu tun.“ Anhand solcher Nutzervorlieben konnte der Algorithmus die in der Online-Studie vergebenen sechs- bis zehnstelligen Knock Codes in weniger Versuchen erraten als typischerweise verwendete vierstellige PINs oder Android-Entsperrmuster.

Nicht mehr Sicherheit durch mehr Möglichkeiten

Die Forscherinnen und Forscher testeten auch, ob sie die Sicherheit der vergebenen Codes verbessern konnten, indem sie den Nutzern zwei mal drei Felder statt zwei mal zwei Felder für den Knock Code zur Verfügung stellten. Die Anzahl der möglichen Knock Codes stieg so von rund 1,3 Millionen auf etwa 72 Millionen mögliche Sequenzen. „Das hat aber nichts gebracht“, so Markert. „Paradoxerweise haben die Nutzerinnen und Nutzer sogar im Durchschnitt kürzere Knock Codes vergeben, wenn sie mehr Felder zur Verfügung hatten.“

Sperrliste verbessert Sicherheit

Mehr Sicherheit konnte das Team hingegen durch eine Sperrliste erzeugen. Diese enthielt die in einer Vorstudie ermittelten 30 beliebtesten Knock Codes. Vergab ein Nutzer einen der Codes auf der Sperrliste, wurde er aufgefordert, einen anderen Code zu wählen. Dadurch erzeugten die Teilnehmerinnen und Teilnehmer tatsächlich Tippmuster, die schwerer zu erraten waren.

Die drei beliebtesten Knock Codes waren in dieser Reihenfolge:

– oben links, oben rechts, unten links, unten rechts, oben links, oben rechts
– oben links, oben rechts, unten rechts, unten links, oben links, oben rechts
– oben links, oben links, oben rechts, oben rechts, unten links, unten links

Knock Codes schwierig zu merken

Aus der Studie ging außerdem hervor, dass Knock Codes schwierig zu merken sind: Ungefähr jeder zehnte Teilnehmer hatte den gewählten Code am Ende der Studie bereits wieder vergessen, obwohl diese nur fünf Minuten dauerte. In einer verwandten Studie über PINs lag die Quote bei unter einem Prozent.

„Wir haben auch einige Aussagen von Nutzern gesammelt, die sagten, dass die Knock Codes zwar leicht zu vergeben seien, aber auch schwer zu merken“, berichtet Philipp Markert. Hinzu kommt, dass die Eingabe eines solchen Codes zum Entsperren des Displays durchschnittlich sieben Sekunden dauerte, während eine PIN-Eingabe standardmäßig viereinhalb Sekunden braucht, ein Android-Entsperrmuster drei Sekunden.

Förderung

Die Arbeiten wurden unterstützt von der National Science Foundation (Grant-Nummern 1845300 und 1617584), dem Land Nordrhein-Westfalen im Rahmen des Graduiertenkollegs „Human Centered Systems Security” und dem Army Research Laboratory (Fördernummer W911NF-13-2-0045).

Philipp Markert
Arbeitsgruppe Mobile Security
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: +49 234 32 28669
E-Mail: philipp.markert@rub.de

Raina Samuel, Philipp Markert, Adam J. Aviv, Iulian Neamtiu: Knock, knock. Who’s there? On the security of LG’s Knock Codes, Symposium on Usable Privacy and Security (SOUPS), 2020, Online-Vorabveröffentlichung: https://arxiv.org/pdf/2006.03556.pdf

https://news.rub.de/presseinformationen/wissenschaft/2020-03-11-it-sicherheit-wi… Frühere Presseinformation zur Sicherheit von PINs

Media Contact

Dr. Julia Weiler idw - Informationsdienst Wissenschaft

Alle Nachrichten aus der Kategorie: Veranstaltungsnachrichten

Zurück zur Startseite

Kommentare (0)

Schreiben Sie einen Kommentar

Neueste Beiträge

Essen, Kontaktpflege oder Erkunden

Wie das Gehirn zwischen Verhaltensweisen umschaltet. Wie schaltet unser Gehirn zwischen verschiedenen Verhaltensweisen um? Eine aktuelle Studie liefert nun eine erste Antwort auf diese zentrale neurowissenschaftliche Frage. Die Forschenden untersuchten…

Sensorische Werkzeugeinleger

… ermöglichen Qualitätskontrolle in Echtzeit beim Kunststoffspritzgießen. Die ökonomische und ökologische Herstellung von Bauteilen mittels Kunststoffspritzguss erfordert eine hohe Prozesssicherheit. Dazu ist eine genaue Erfassung und Überwachung relevanter Parameter wie…

KI-basierte Software in der Mammographie

Eine neue Software unterstützt Medizinerinnen und Mediziner, Brustkrebs im frühen Stadium zu entdecken. // Die KI-basierte Mammographie steht allen Patientinnen zur Verfügung und erhöht ihre Überlebenschance. Am Universitätsklinikum Carl Gustav…

Partner & Förderer