idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
Science Video Project
idw-Abo

idw-News App:

AppStore

Google Play Store



Instanz:
Teilen: 
23.07.2021 08:18

Wie Android-Entsperrmuster sicherer werden könnten

Dr. Julia Weiler Dezernat Hochschulkommunikation
Ruhr-Universität Bochum

    Auf Android-Geräten können Nutzerinnen und Nutzer das Display durch die Eingabe eines Musters entsperren. Diese Funktion ist komfortabel und daher beliebt – allerdings unsicherer als die Sperre mit einer PIN. Ein internationales Forschungsteam empfiehlt daher, auf Android-Geräten eine Sperrliste zu implementieren, die die 100 beliebtesten und somit am leichtesten zu erratenden Muster verbietet. Wie genau diese gestaltet sein müsste, hat Philipp Markert vom Horst-Görtz-Institut (HGI) für IT-Sicherheit der Ruhr-Universität Bochum zusammen mit Kollegen von The George Washington University und der United States Navy untersucht.

    Die Ergebnisse stellt das Team um Prof. Dr. Adam Aviv von The George Washington University auf dem USENIX Symposium on Usable Privacy and Security vor, das vom 8. bis 10. August als virtuelle Tagung stattfindet. Die Daten sind vorab als frei zugänglicher Preprint verfügbar.

    So sehen die beliebtesten Android-Muster aus

    „Während eine vierstellige PIN 10.000 verschiedene Kombinationen ermöglicht, können die Android-Muster, die auf einem Drei-mal-drei-Grid eingezeichnet werden, theoretisch 389.112 Varianten annehmen“, erklärt Collins Munyendo, Erstautor der Publikation von The George Washington University. „Diese Möglichkeiten nutzen die Anwenderinnen und Anwender allerdings nicht aus.“ In dem Sprachraum, in dem von oben links nach unten rechts gelesen wird, sind Muster in Form von Buchstaben – etwa ein Z, L oder W – besonders beliebt. Rund 49 Prozent aller Muster starten oben links; 32,5 Prozent enden unten rechts – das macht es Angreiferinnen und Angreifern leichter, ein Muster zu erraten.

    Verschiedene Sperrlisten im Test

    In der aktuellen Online-Studie testete das Forschungsteam, wie sich unterschiedlich lange Sperrlisten auf die Sicherheit und Nutzbarkeit auswirken. Sie ließen 1.006 Personen ein neues Entsperrmuster aussuchen. Ein Teil der Teilnehmenden konnte aus allen theoretisch denkbaren Möglichkeiten wählen (Kontrollgruppe); für die anderen fünf Gruppen waren gewisse Muster ausgeschlossen, wobei fünf unterschiedlich umfangreiche Sperrlisten zum Einsatz kamen. Wählte ein User ein gesperrtes Muster, erhielt er eine Warnung angezeigt und musste ein neues Muster eingeben.

    Welche die beliebtesten Android-Muster sind, hatten die Forschenden in einer früheren Studie ermittelt. Die kürzeste der fünf getesteten Sperrlisten enthielt die zwölf beliebtesten Muster aus der Vorgängerstudie, die längste Sperrliste die 581 beliebtesten Muster.

    Sperrliste mit 100 Mustern empfohlen

    „Die mittellange Liste mit 100 gesperrten Mustern ist der beste Kompromiss zwischen Sicherheit und Nutzbarkeit“, sagt Miles Grant von The George Washington University. Mit dieser Sperrliste brauchten Userinnen und User durchschnittlich 19 Sekunden, um ein nicht gesperrtes Muster auszusuchen. Zum Vergleich: In der Kontrollgruppe wurde ein Muster in 13 Sekunden gewählt. War ein Muster einmal ausgesucht, konnten es sich die User gut merken: 99,54 Prozent erinnerten sich richtig an das zuvor gesetzte Muster, in der Kontrollgruppe waren es 100 Prozent.

    Sicherheit steigt selbst bei kürzester Sperrliste

    Die Forschenden überprüften auch, wie sehr sich die Sperrlisten auf die Sicherheit der Muster auswirkten. Sie simulierten, wie leicht ein Angreifer ein Muster eines gestohlenen Handys erraten könnte. Ohne Sperrliste lagen die Erfolgschancen nach 30 Rate-Versuchen bei 23,7 Prozent. Mit der längsten Sperrliste bei 2,3 Prozent. Die empfohlene Liste mit 100 gesperrten Mustern reduzierte die Erfolgschancen auf etwa 7,5 Prozent.

    „Eine Sperrliste mit 100 Einträgen würde die Sicherheit also schon deutlich erhöhen, aber den Nutzern nur wenig mehr Aufwand bei der Einrichtung bereiten“, resümiert Philipp Markert. „Das Layout des Drei-mal-drei-Grids, das die User kennen und mögen, würde unverändert bleiben.“ Im Gegensatz dazu beinhalteten andere Ideen für mehr Sicherheit von Android-Mustern ein Vier-mal-vier-Grid oder eine zufällige Anordnung der Grid-Punkte auf dem Display.

    Förderung

    Die Arbeiten wurden unterstützt von der National Science Foundation (Grantnummer 1845300), dem Land NRW im Rahmen der Forschungsgruppe „Human Centered Systems Security“ und der Deutschen Forschungsgemeinschaft im Rahmen des Exzellenzclusters Cyber Security in the Age of Large-Scale Adversaries, CASA (EXC 2092 – 390781972).


    Wissenschaftliche Ansprechpartner:

    Philipp Markert
    Arbeitsgruppe Mobile Security
    Horst-Görtz-Institut für IT-Sicherheit
    Ruhr-Universität Bochum
    Tel.: +49 234 32 28669
    E-Mail: philipp.markert@rub.de


    Originalpublikation:

    Collins W. Munyendo, Miles Grant, Philipp Markert, Timothy J. Forman, Adam J. Aviv: Using a blocklist to improve the security of user selection of Android patterns, USENIX Symposium on Usable Privacy and Security (SOUPS), 2021, Virtual Conference, Download Preprint: https://gwusec.seas.gwu.edu/android-pattern-blocklists/soups21-84-pattern-blockl...


    Weitere Informationen:

    https://news.rub.de/presseinformationen/wissenschaft/2020-03-11-it-sicherheit-wi... Presseinformation: Sicherheit von Handy-PINs
    https://news.rub.de/presseinformationen/wissenschaft/2019-02-14-it-sicherheit-si... Presseinformation: Sicherheit von Entsperrmustern


    Bilder

    Philipp Markert forscht in der Ar­beits­grup­pe Mo­bi­le Se­cu­ri­ty am Bochumer Horst-Görtz-Institut für IT-Sicherheit.
    Philipp Markert forscht in der Ar­beits­grup­pe Mo­bi­le Se­cu­ri­ty am Bochumer Horst-Görtz-Institu ...

    © RUB, Marquard


    Merkmale dieser Pressemitteilung:
    Journalisten
    Informationstechnik
    überregional
    Forschungsergebnisse, Wissenschaftliche Publikationen
    Deutsch


     

    Philipp Markert forscht in der Ar­beits­grup­pe Mo­bi­le Se­cu­ri­ty am Bochumer Horst-Görtz-Institut für IT-Sicherheit.


    Zum Download

    x

    Hilfe

    Die Suche / Erweiterte Suche im idw-Archiv
    Verknüpfungen

    Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.

    Klammern

    Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).

    Wortgruppen

    Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.

    Auswahlkriterien

    Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).

    Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).