Gratis
19. Februar 2019 - Smartphone-Sicherheit

Entsperrmuster bieten wenig Schutz

Drucken

Muster zur Entsperrung des Smartphones sind bei den Nutzern zwar beliebt, bieten aber wenig Schutz, was die Datensicherheit betrifft. Entsperrmuster lassen sich schnell und bequem eingeben, um erneut Zugriff auf das Gerät zu erhalten. Doch der Komfort geht auf Kosten der Sicherheit.

Entsperrmuster sind meist leicht zu knacken Entsperr-Muster sind häufig zu gleichförmig und daher leicht zu knacken (Bild: iStock.com / marchmeena29)

Vergibt sich ein Anwender in einem Online-Shop oder einer Anwendung ein Passwort, gibt das System oft eine visuelle Rückmeldung, wie komplex und damit sicher das Passwort ist.

Das Feedback soll verhindern, dass die Nutzer Passwörter verwenden, die sich zu schnell ermitteln lassen. Solche visuellen Rückmeldungen bei der Eingabe von Entsperrmustern werden auch für die Android-Plattform diskutiert.

Die Bochumer Arbeitsgruppe „Mobile Security“ am Horst-Görtz-Institut für IT-Sicherheit an der Ruhr-Universität hat sich die diskutierten Ansätze einmal angesehen. Sie kommt zu dem Schluss, dass die bisher vorgeschlagenen Stärke-Meter nicht wiedergeben, wie leicht ein Muster in der Praxis zu erraten ist.

Stärke-Meter berücksichtigen visuelle Komplexität

In den Konzepten zur Ermittlung der Stärke eines Entsperrmusters werden die visuellen Eigenschaften berücksichtigt. Die Algorithmen überprüfen so die Zahl der Kreuzungen im Muster, die Länge, den Startpunkt und mögliche Überlappungen.

Wie Forscher aber nun herausgefunden haben, sagen diese Parameter wenig über die Sicherheit des Musters aus.

Grundsätzlich wären mit Vorgaben von Android in dem drei mal drei Punkte umfassenden Raster über 389.000 verschiedene Muster möglich. Allerdings haben die Nutzer eindeutige Vorlieben, wie sie die Muster anlegen.

Wie die Studie zeigt, tendieren die Anwender dazu, ihr Muster oben links beginnen und unten rechts enden zu lassen. Und das macht diese recht leicht vorhersagbar.

Vergleich von Theorie und Praxis

Die Forschungsgruppe untersuchte die Entsperrmuster von 4.600 Nutzern. Sie ermittelten, ob die bisher vorgeschlagenen Stärke-Meter die Muster als sicher oder unsicher klassifiziert hätten.

Diese Ergebnisse stellten sie einem realistischen Angreifer gegenüber, der systematisch eine Reihe der beliebtesten Muster ausprobiert.

Neben dem Test der bisher vorgeschlagenen Stärke-Meter entwickelten die Forscher einen eigenen Ansatz. Er soll für die Nutzer intuitiv und somit zugänglicher sein.

Konkret denken die Forscher über eine Art von Blacklist nach, die in den Stärke-Meter integriert wird. Diese Liste würde dann beispielsweise die 200 häufigsten Muster enthalten. Beim Versuch, dieses Muster zu hinterlegen, erhielte der Anwender vom Smartphone eine Warnung.

Stephan Lamprecht