Так як графічно ключі ще порівняно молоді, і зібрати велику кількість прикладів реальних ключів «з життя» важко, вибірка у Лёге вийшла невелика - вона проаналізувала 4 000 Android lock Patterns (ALP). Проте, отримані на виході дані виявилися небезінтересні.
«Люди передбачувані. У разі графічних паролів, ми спостерігаємо той же підхід, яким люди керуються при створенні PIN-кодів і звичайних буквено-числових комбінацій », - розповіла Лёге на конференції. ALP може містити не менше 4 вузлів і не більше 9, що сумарно дає 389,112 можливих комбінацій. Так само як у випадку зі звичайними паролями, число комбінацій зростає експоненціально, разом з довжиною графічного ключа.
Довжина графічного ключа
В цілому, основні зібрані дані такі:
- 44% ALP починаються з верхнього лівого вузла
- 77% починаються в одному з чотирьох кутів екрану
- 5 - середнє число задіяних в графічному паролі вузлів, тобто зломщикові доведеться перебрати менше 8 000 комбінацій
- У багатьох випадках графічний пароль складається за 4 вузлів, а це вже менш 1,624 комбінацій
- Найчастіше ALP вводять зліва направо і зверху вниз, що теж значно полегшує підбір
Чоловіки в цілому придумують більш складні і довгі паролі, ніж жінки. Найскладніші паролі - у молодих чоловіків. Ілюстрація нижче демонструє різницю в складності паролів:
«Було дуже забавно бачити, що люди використовують ту ж стратегію запам'ятовування, до якої звикли, використовуючи чисельно-літерні паролі. Той же самий спосіб мислення », - розповіла Лёге. Виходить, якщо атакуючим вдасться зібрати достатньо велику кількість графічних ключів, вони зможуть скористатися моделлю Маркова. що значно збільшить їхні шанси на успіх. Лёге не стала фокусуватися на даному методі злому в своїй доповіді з етичних міркувань.
На закінчення Лёге дала ряд порад, як зробити ALP безпечніше. По-перше, в графічному ключі варто використовувати більшу кількість вузлів, що зробить пароль складнішим. По-друге, варто додати перетинів, так як вони ускладнюють атакуючим підбір комбінації і допоможуть заплутати зловмисника, якщо той вирішив підглянути пароль через плече жертви. По-третє, варто відключити опцію «показувати патерн» в настройках безпеки Android: якщо лінії між точками не показуються на екрані, підглянути ваш пароль стане ще складніше.
Фото: Marte Løge
Поділися новиною з друзями: