Användare av Android-enheter kan låsa upp skärmen genom att ange ett mönster. Den här funktionen är bekväm och därmed populär – dock mindre säker än att låsa med en PIN-kod. Ett internationellt forskarlag rekommenderar alltså att implementera en blocklista på Android-enheter som förbjuder de 100 mest populära mönstren, som alltså är lättast att gissa. Exakt hur detta behöver skapas har Philipp Markert från Horst Görtz Institute for IT Security vid Ruhr-Universität Bochum undersökt tillsammans med kollegor från The George Washington University och United States Navy.

Teamet under ledning av professor Adam Aviv från The George Washington University kommer att presentera resultaten vid USENIX Symposium on Usable Privacy and Security, som äger rum den 8 till 10 augusti som en virtuell konferens. Uppgifterna är tillgängliga i förväg som ett fritt tillgängligt förtryck.

Hur de mest populära Android-mönstren ser ut

"Medan den fyrsiffriga PIN-koden tillåter användare 10 000 olika kombinationer, kan det teoretiskt finnas 389 112 versioner av Android-mönster som ritas på ett tre gånger tre rutnät", förklarar Collins Munyendo, första författare till publikationen från The George Washington University . "Men användarna gör inte det bästa av dessa alternativ." I delar av världen där människor läser från det övre vänstra till det nedre högra hörnet, är mönster i form av bokstäver – som ett Z, L eller W – särskilt populära. Runt 49 procent av alla mönster börjar uppe till vänster; 32,5 procent slutar längst ner till höger – detta gör det lättare för angripare att gissa ett mönster.

Olika blockeringslistor testades

I den aktuella onlinestudien testade forskargruppen hur blocklistor av olika längd påverkar säkerhet och användbarhet. De fick 1 006 personer att välja ett nytt upplåsningsmönster. Några av deltagarna kunde välja bland alla teoretiskt tänkbara möjligheter (kontrollgrupp); vissa mönster uteslöts för de andra fem grupperna, varvid fem blocklistor av olika längd användes. Om en användare valde ett blocklistat mönster fick de en varning och var tvungen att ange ett nytt mönster.

Forskarna hade i en tidigare studie identifierat vilka som var de mest populära Android-mönstren. Den kortaste av de fem testade blocklistorna innehöll de tolv mest populära mönstren från den tidigare studien, den längsta blockeringslistan innehöll de 581 mest populära mönstren.

Blocklista med 100 mönster rekommenderas

"Den medellånga listan med 100 blocklistade mönster är den bästa kompromissen mellan säkerhet och användbarhet", sammanfattar Miles Grant från The George Washington University. Med den här blockeringslistan tog användarna i genomsnitt 19 sekunder att välja ett icke-blocklistat mönster. Som en jämförelse:ett mönster valdes ut på 13 sekunder i kontrollgruppen. När ett mönster väl hade valts kunde användarna komma ihåg det väl:99,54 procent kom korrekt ihåg det mönster de hade satt, medan siffran var 100 procent i kontrollgruppen.

Säkerheten ökar, även med den kortaste blockeringslistan

Forskarna verifierade också i vilken utsträckning blocklistorna påverkade mönstrens säkerhet. De simulerade hur lätt en angripare kunde gissa mönstret för en stulen mobiltelefon. Utan spärrlista var chansen att lyckas 23,7 procent efter 30 gissningsförsök. Med den längsta blockeringslistan var den 2,3 procent. Den rekommenderade listan med 100 blockerade mönster minskade chanserna att lyckas till cirka 7,5 procent.

"En blockeringslista med 100 poster skulle alltså redan öka säkerheten avsevärt, men kräva lite extra ansträngning från användarna under installationen", sammanfattar Philipp Markert. "Layouten med tre-av-tre-rutnät, som användarna känner till och gillar, skulle förbli oförändrad." I motsats till detta inkluderade andra idéer för att förbättra säkerheten för Android-mönster ett rutnät med fyra gånger fyra eller ett slumpmässigt arrangemang av rutnätspunkterna på skärmen.