IT-Sicherheit Sichere Muster für die Smartphone-Displaysperre
Die L- und Z-Form sind am beliebtesten. Und am unsichersten. Wie man Nutzer davon abhalten kann, sie zu verwenden, untersuchen Forscher aus Bochum und den USA.
Manche Dienste zeigen Nutzern, die ein neues Passwort einrichten, über einen rot-gelb-grünen Balken an, wie sicher die gewählte Zeichenfolge ist. Ein solcher Hinweis, ein sogenanntes Stärke-Meter, ist auch für Entsperrmuster von Android-Smartphones im Gespräch. Die dafür bislang in der Theorie vorgeschlagenen Konzepte würden jedoch nicht zur Sicherheit beitragen. Zu diesem Schluss kommen Forscher der RUB-Arbeitsgruppe Mobile Security gemeinsam mit Kollegen der United States Naval Academy.
Beliebte Muster leicht vorhersagbar
„Die Konzepte für Stärke-Meter beruhen bislang alle auf visuellen Eigenschaften. Sie überprüfen zum Beispiel die Anzahl der Kreuzungen im Muster, den Startpunkt, die Länge oder ob es Überlappungen gibt“, erklärt Maximilian Golla, Doktorand in der Bochumer Arbeitsgruppe Mobile Security am Horst-Görtz-Institut für IT-Sicherheit.
Die aktuelle Studie zeigte jedoch, dass die bislang vorgeschlagenen Stärke-Meter nicht wiedergeben, wie leicht ein Muster in der Praxis zu erraten wäre. Denn Nutzer haben bestimmte Vorlieben, tendieren etwa dazu, oben links zu beginnen und das Muster unten rechts enden zu lassen. „Das macht sie leicht vorhersagbar“, sagt Golla.
Die Ergebnisse der Untersuchung stellt das Team um Maximilian Golla und Prof. Dr. Markus Dürmuth am 24. Februar 2019 auf dem Workshop on Usable Security and Privacy in San Diego vor.
Einfachste Muster verhindern
Generell halten die IT-Experten Stärke-Meter für nützlich, weil ihre reine Anwesenheit die Nutzer motiviert, sich über den Code Gedanken zu machen. Sie weisen jedoch darauf hin, dass es nicht förderlich sei, den Nutzer dazu zu bringen, das stärkst mögliche Muster einzugeben. Denn das Android-Betriebssystem begrenzt die Anzahl der möglichen Rateversuche, sodass übertriebene Sicherheit nicht notwendig ist. „Stattdessen müssen wir verhindern, dass die Nutzer die am leichtesten zu erratenden Muster, etwa die L- oder Z-Form, verwenden“, sagt Golla. Wie das am besten klappen könnte, testet er mit seinen Kollegen derzeit.
In einer laufenden Nutzerstudie lassen die Forscher Teilnehmerinnen und Teilnehmer schätzen, wie sicher bestimmte Entsperrmuster ihrer Meinung nach sind. In einem nächsten Schritt wollen sie prüfen, wie diese Einschätzungen sinnvollerweise in ein Stärke-Meter einfließen könnten. So wollen sie ein Meter konstruieren, das Nutzer intuitiver erscheint und damit zugänglicher ist. Um gleichzeitig die Sicherheit zu gewährleisten, denken die Forscher über eine Art Blacklist nach; diese würde beispielsweise die 200 häufigsten Muster enthalten. Gibt der Nutzer eines dieser Muster ein, würde das Smartphone ihn warnen.
