idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
Science Video Project
idw-Abo

idw-News App:

AppStore

Google Play Store



Instance:
Share on: 
02/14/2019 08:56

Sichere Muster für die Smartphone-Displaysperre

Dr. Julia Weiler Dezernat Hochschulkommunikation
Ruhr-Universität Bochum

    Manche Dienste zeigen Nutzern, die ein neues Passwort einrichten, über einen rot-gelb-grünen Balken an, wie sicher die gewählte Zeichenfolge ist. Ein solcher Hinweis ist auch für Entsperrmuster von Android-Smartphones im Gespräch. Die dafür bislang in der Theorie vorgeschlagenen Konzepte würden jedoch nicht zur Sicherheit beitragen. Zu diesem Schluss kommen Forscher der Arbeitsgruppe Mobile Security der Ruhr-Universität Bochum gemeinsam mit Kollegen der United States Naval Academy. Die Ergebnisse der Untersuchung stellt das Team um Maximilian Golla und Prof. Dr. Markus Dürmuth am 24. Februar 2019 auf dem Workshop on Usable Security and Privacy in San Diego vor.

    Beliebte Muster leicht vorhersagbar

    Wer bislang auf seinem Android-Smartphone ein neues Entsperrmuster einrichtet, erhält keine Rückmeldung zur Stärke des gewählten Codes. Verschiedene Forschungsgruppen haben vorgeschlagen, dem Nutzer über einen farbigen Balken entsprechendes Feedback zu geben. „Die Konzepte für ein solches Stärke-Meter beruhen bislang alle auf visuellen Eigenschaften. Sie überprüfen zum Beispiel die Anzahl der Kreuzungen im Muster, den Startpunkt, die Länge oder ob es Überlappungen gibt“, erklärt Maximilian Golla, Doktorand in der Bochumer Arbeitsgruppe Mobile Security am Horst-Görtz-Institut für IT-Sicherheit.

    Die aktuelle Studie zeigte jedoch, dass diese Parameter wenig mit der tatsächlichen Stärke des Entsperrmusters zusammenhängen. Denn unabhängig von der Komplexität des grafischen Codes kommt es auch darauf an, wie gut ein Angreifer die Abfolge erraten kann. Mit den Android-Vorgaben sind auf dem Drei-mal-drei-Punkte-Feld prinzipiell 389.112 verschiedene Muster möglich. Nutzer haben jedoch bestimmte Vorlieben, tendieren etwa dazu, oben links zu beginnen und das Muster unten rechts enden zu lassen. „Das macht sie leicht vorhersagbar“, sagt Golla.

    Neues Konzept für Stärke-Meter

    Für rund 4.600 von Nutzern gewählte Entsperrmuster untersuchte das deutsch-amerikanische Team, ob die in der Theorie vorgeschlagenen Stärke-Meter die Muster als sicher oder unsicher einstufen würden. Im Anschluss ermittelten die Forscher, wie leicht sich die Muster tatsächlich erraten lassen würden. Dafür simulierten sie einen realistischen Angreifer, der seine Erfolgschancen steigert, indem er eine begrenzte Anzahl der beliebtesten Muster ausprobiert.

    Neben dem Test der bisher vorgeschlagenen Stärke-Meter entwickelten die Forscher auch einen eigenen Vorschlag für ein Stärke-Meter. Dafür verwendeten sie ein Markov-Modell; es macht sich zunutze, dass Menschen aufeinanderfolgende Bestandteile eines Codes nicht unabhängig voneinander wählen. In Passwörtern kommen bestimmte Buchstabenkombinationen beispielsweise häufiger vor als andere; analog sind bestimmte Wege im Android-Entsperrmuster beliebter als andere.

    Das Ergebnis der Analyse: Die bislang vorgeschlagenen Stärke-Meter geben nicht wieder, wie leicht ein Muster in der Praxis zu erraten wäre. Generell seien Stärke-Meter jedoch nützlich, weil ihre reine Anwesenheit die Nutzer motiviere, sich über den Code Gedanken zu machen, sagen die Forscher. „Wir würden es aber für sinnvoller halten, wenn die Stärke-Meter auf einem probabilistischen Ansatz wie dem hier vorgeschlagenen Markov-Modell basieren würden“, so Maximilian Golla.

    Einfachste Muster verhindern

    Die Wissenschaftler weisen jedoch darauf hin, dass es nicht förderlich sei, den Nutzer dazu zu bringen, das stärkst mögliche Muster einzugeben. Denn das Android-Betriebssystem begrenzt die Anzahl der möglichen Rateversuche, sodass übertriebene Sicherheit nicht notwendig ist. „Stattdessen müssen wir verhindern, dass die Nutzer die am leichtesten zu erratenden Muster, etwa die L- oder Z-Form, verwenden“, sagt Golla. Wie das am besten klappen könnte, testet er mit seinen Kollegen derzeit.

    In einer laufenden Nutzerstudie lassen die Forscher Teilnehmerinnen und Teilnehmer schätzen, wie sicher bestimmte Entsperrmuster ihrer Meinung nach sind. In einem nächsten Schritt wollen sie prüfen, wie diese Einschätzungen sinnvollerweise in ein Stärke-Meter einfließen könnten. So wollen sie ein Meter konstruieren, das Nutzer intuitiver erscheint und damit zugänglicher ist. Um gleichzeitig die Sicherheit zu gewährleisten, denken die Forscher über eine Art Blacklist nach; diese würde beispielsweise die 200 häufigsten Muster enthalten. Gibt der Nutzer eines dieser Muster ein, würde das Smartphone ihn warnen.


    Contact for scientific information:

    Maximilian Golla
    Arbeitsgruppe Mobile Security
    Horst-Görtz-Institut für IT-Sicherheit
    Ruhr-Universität Bochum
    Tel.: 0234 32 28667
    E-Mail: maximilian.golla@rub.de


    Original publication:

    Maximilian Golla, Jan Rimkus, Adam J. Aviv, Markus Dürmuth: On the in-accuracy and influence of Android pattern strength meters, Workshop on Usable Security and Privacy (USEC), San Diego, USA, 2019, https://www.mobsec.ruhr-uni-bochum.de/forschung/veroeffentlichungen/accuracy-and...


    Images

    Über ein Stärke-Meter könnte man Nutzern Feedback geben, wie sicher ihr Entsperrmuster ist.
    Über ein Stärke-Meter könnte man Nutzern Feedback geben, wie sicher ihr Entsperrmuster ist.
    © RUB, AG Mobile Security (Dieses Bild darf nur für eine Berichterstattung mit Bezug zur Ruhr-Universität Bochum im Kontext dieser Presseinformation verwendet werden.)
    None


    Criteria of this press release:
    Journalists
    Information technology
    transregional, national
    Research results, Scientific Publications
    German


     

    Über ein Stärke-Meter könnte man Nutzern Feedback geben, wie sicher ihr Entsperrmuster ist.


    For download

    x

    Help

    Search / advanced search of the idw archives
    Combination of search terms

    You can combine search terms with and, or and/or not, e.g. Philo not logy.

    Brackets

    You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).

    Phrases

    Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.

    Selection criteria

    You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).

    If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).