Auf Android-Geräten können Nutzerinnen und Nutzer das Display durch die Eingabe eines Musters entsperren. Diese Funktion ist komfortabel und daher beliebt – allerdings unsicherer als die Sperre mit einer PIN. Ein internationales Forschungsteam empfiehlt daher, auf Android-Geräten eine Sperrliste zu implementieren, die die 100 beliebtesten und somit am leichtesten zu erratenden Muster verbietet. Wie genau diese gestaltet sein müsste, hat Philipp Markert vom Horst-Görtz-Institut (HGI) für IT-Sicherheit der Ruhr-Universität Bochum zusammen mit Kollegen von The George Washington University und der United States Navy untersucht.
Die Ergebnisse stellt das Team um Prof. Dr. Adam Aviv von The George Washington University auf dem USENIX Symposium on Usable Privacy and Security vor, das vom 8. bis 10. August als virtuelle Tagung stattfindet. Die Daten sind vorab als frei zugänglicher Preprint verfügbar.
Verschiedene Sperrlisten im Test
In der aktuellen Online-Studie testete das Forschungsteam, wie sich unterschiedlich lange Sperrlisten auf die Sicherheit und Nutzbarkeit auswirken. Sie ließen 1.006 Personen ein neues Entsperrmuster aussuchen. Ein Teil der Teilnehmenden konnte aus allen theoretisch denkbaren Möglichkeiten wählen (Kontrollgruppe); für die anderen fünf Gruppen waren gewisse Muster ausgeschlossen, wobei fünf unterschiedlich umfangreiche Sperrlisten zum Einsatz kamen. Wählte ein User ein gesperrtes Muster, erhielt er eine Warnung angezeigt und musste ein neues Muster eingeben.
Sperrliste mit 100 Mustern empfohlen
Die mittellange Liste mit 100 gesperrten Mustern identifizierten die Forscherinnen und Forscher als besten Kompromiss zwischen Sicherheit und Nutzbarkeit. Sie simulierten, wie leicht ein Angreifer ein Muster eines gestohlenen Handys erraten könnte. Ohne Sperrliste lagen die Erfolgschancen nach 30 Rate-Versuchen bei 23,7 Prozent. Die empfohlene Liste mit 100 gesperrten Mustern reduzierte die Erfolgschancen auf etwa 7,5 Prozent. Mit dieser Sperrliste brauchten Userinnen und User durchschnittlich 19 Sekunden, um ein nicht gesperrtes Muster auszusuchen. Zum Vergleich: In der Kontrollgruppe wurde ein Muster in 13 Sekunden gewählt.
„Eine Sperrliste mit 100 Einträgen würde die Sicherheit also schon deutlich erhöhen, aber den Nutzern nur wenig mehr Aufwand bei der Einrichtung bereiten“, resümiert Philipp Markert.
Mehr dazu auf den RUB-News-Seiten unter https://news.rub.de/presseinformationen/wissenschaft/2021-07-23-it-sicherheit-wie-android-entsperrmuster-sicherer-werden-koennten.