IT-Sicherheit Wie sicher Knock Codes für die Smartphone-Displaysperre sind
2014 hat der Hersteller LG eine neue Technik eingeführt, um das Display seiner Handys mithilfe eines Tippmusters entsperren zu lassen. Mehr Sicherheit bringt das nicht – entgegen dem Werbeversprechen des Herstellers.
Die auf Smartphones des Herstellers LG eingeführten Knock Codes für die Displaysperre sind unsicherer als vierstellige PINs und als Android-Entsperrmuster. Zu diesem Schluss kommen Forscher vom New Jersey Institute of Technology, vom Horst-Görtz-Institut für IT-Sicherheit (HGI) der Ruhr-Universität Bochum sowie der George Washington University. Die Ergebnisse stellen sie auf dem 16. Symposium on Usable Privacy and Security vor, das vom 9. bis 11. August 2020 als virtuelle Konferenz stattfindet.
Werbeversprechen widerlegt
„Unsere Analyse widerlegt das Werbeversprechen von LG, in dem in Bezug auf die Knock Codes von ‚perfect security‘ die Rede ist“, sagt Philipp Markert von der Bochumer Arbeitsgruppe Mobile Security am HGI. Er kooperierte für die Studie mit Raina Samuel und Prof. Dr. Iulian Neamtiu vom New Jersey Institute of Technology sowie Prof. Dr. Adam Aviv von der George Washington University.
Entsperrt ein Nutzer sein Handy mittels eines Knock Codes, bekommt er zwei mal zwei Felder angezeigt, die in einer bestimmten Sequenz angetippt werden müssen. Die Sequenz muss mindestens sechs und kann maximal zehn Tipper lang sein. Schätzungen zufolge wird diese Technik in den USA aktuell von 700.000 bis 2,5 Millionen Menschen verwendet. Das Forschungsteam untersuchte, wie leicht ein Angreifer, der ein fremdes Smartphone in seinen Besitz gebracht hat, ein Tippmuster erraten könnte.
Algorithmus errät Codes
In einer Online-Studie dachten sich 351 Teilnehmerinnen und Teilnehmer aus den USA einen Knock Code aus. Anschließend beantworteten sie einige Fragen, zum Beispiel zur empfundenen Sicherheit des Codes, den sie nach etwa fünf Minuten erneut eingeben mussten.
Dann analysierten die IT-Sicherheitsforscher, wie schnell ein Computeralgorithmus die vergebenen Knock Codes erraten konnte. Den Algorithmus hatten sie zuvor unter anderem mit Knock Codes trainiert, die sie in einer Vorstudie erhoben hatten. Anhand der Trainingsdaten lernte der Algorithmus die Vorlieben der Nutzer bei der Knock-Code-Wahl und probierte später beim Erraten der Codes besonders beliebte Elemente zuerst aus.
„65 Prozent der Nutzerinnen und Nutzer begannen den Code oben links, von diesen wiederum wählte ein Großteil als nächstes das Feld oben rechts“, erklärt Philipp Markert. „Das hat sicher mit den Lesegewohnheiten in der westlichen Welt zu tun.“ Anhand solcher Nutzervorlieben konnte der Algorithmus die in der Online-Studie vergebenen sechs- bis zehnstelligen Knock Codes in weniger Versuchen erraten als typischerweise verwendete vierstellige PINs oder Android-Entsperrmuster.
Paradoxerweise haben die Nutzerinnen und Nutzer im Durchschnitt kürzere Knock Codes vergeben, wenn sie mehr Felder zur Verfügung hatten.
Philipp Markert
Die Forscherinnen und Forscher testeten auch, ob sie die Sicherheit der vergebenen Codes verbessern konnten, indem sie den Nutzern zwei mal drei Felder statt zwei mal zwei Felder für den Knock Code zur Verfügung stellten. Die Anzahl der möglichen Knock Codes stieg so von rund 1,3 Millionen auf etwa 72 Millionen mögliche Sequenzen. „Das hat aber nichts gebracht“, so Markert. „Paradoxerweise haben die Nutzerinnen und Nutzer sogar im Durchschnitt kürzere Knock Codes vergeben, wenn sie mehr Felder zur Verfügung hatten.“
Sperrliste verbessert Sicherheit
Mehr Sicherheit konnte das Team hingegen durch eine Sperrliste erzeugen. Diese enthielt die in einer Vorstudie ermittelten 30 beliebtesten Knock Codes. Vergab ein Nutzer einen der Codes auf der Sperrliste, wurde er aufgefordert, einen anderen Code zu wählen. Dadurch erzeugten die Teilnehmerinnen und Teilnehmer tatsächlich Tippmuster, die schwerer zu erraten waren.
Knock Codes schwierig zu merken
Aus der Studie ging außerdem hervor, dass Knock Codes schwierig zu merken sind: Ungefähr jeder zehnte Teilnehmer hatte den gewählten Code am Ende der Studie bereits wieder vergessen, obwohl diese nur fünf Minuten dauerte. In einer verwandten Studie über PINs lag die Quote bei unter einem Prozent.
„Wir haben auch einige Aussagen von Nutzern gesammelt, die sagten, dass die Knock Codes zwar leicht zu vergeben seien, aber auch schwer zu merken“, berichtet Philipp Markert. Hinzu kommt, dass die Eingabe eines solchen Codes zum Entsperren des Displays durchschnittlich sieben Sekunden dauerte, während eine PIN-Eingabe standardmäßig viereinhalb Sekunden braucht, ein Android-Entsperrmuster drei Sekunden.
Originalveröffentlichung