Låsemønstrenes uutholdelige letthet

Teknologianalytiker Marte Løge har studert Android-låsemønstre.

Lett å knekke låsemønster-koden

Fortell meg hvem du er og jeg skal fortelle deg ditt låsemønster, sier Marte Løge, som har forsket på svakheten ved valg av låsemønster til mobilen.

Bruker du låsemønster for å låse opp smarttelefonen din? Sannsynligheten er stor for at du bør revurdere mønsteret du har valgt.

Biometri

Vi skrev nylig om Mac-appen MacID, som lar deg bruke den biometriske fingeravtrykk-leseren på en iPhone til å åpne Mac-en når den er låst. Ved siden av DNA er fingeravtrykk en unik identifikator som regnes som veldig sikker. Apple benytter biometri på sine iPhone-telefoner til alt fra opplåsning til sikker betaling via Apple Pay, og informasjonen er lagret i en sikker enklave kalt secure element.

MacID har en annen funksjon også, nemlig anledning til å bruke en serie med fingertrykk på styreflaten på en Mac i tillegg til passord eller biometri. Man kan velge mellom en, to eller tre fingre samtidig, i en viss sekvens. Det sier seg selv at enkeltheten ved dette er slående, men antall kombinasjoner vil selvfølgelig være sterkt begrenset.

Android Lock Patterns

Marte Løge, tidligere student ved NTNU og nå teknologianalytiker hos Itera,  har skrevet masteroppgave om data- og mobilsikkerhet og sammenhengen i valg av låsemønstre på Android - Android Lock Patterns (ALP). Masteroppgaven ble skrevet under veiledning av Per Thorsheim og Lillian Røstad.

Per Thorsheim er uavhengig sikkerhetsrådgiver og leder for God praksis AS, samt initiativtaker til til PasswordsCon. Lillian Røstad er seksjonssjef for informasjonssikkerhet hos Difi.

Nylig foreleste Marte Løge på BSides-sikkerhetskonferansen i Las Vegas.

Det viser seg at våre valg av låsemønstre er like dårlige som våre passord. Bruken av simplistiske passord som “passord” eller “1234” er utstrakt, og lette å gjette for hackere gjennom listeangrep. I motsetningen til biometrisk identifisering er vi nødt til å faktisk huske passordene, og det samme gjelder for mønstre. Dermed blir vi ofre for våre egne svakheter, og disse kan lett utnyttes av hackere.

Gjenkjennelige mønstre

Løge fant at hele 77 prosent av mønstre begynte i et ytre hjørne, og hele 44 prosent i det øvre, venstre hjørne. Det faktum at flest er høyrehendte bidrar til å forklare dette valget, men snevrer også antall mulige kombinasjoner drastisk inn.

Tilsvarende viser det seg at de fleste velger mønstre med få eller færrest mulig noder. I tre tenkte situasjoner valgte mange enklere mønstre for bruksområder som ble oppfattet som mindre kritiske, som shopping og opplåsning av mobilen, fremfor bruk i nettbank.

ALP: Det grafiske svaret på "passord1234".

Menn, spesielt yngre, i studien viste større tendens til å velge mer komplekse mønstre enn kvinner. 

Mange velger også mønstre som er lett gjenkjennelige som symboler eller karakterer, som for eksempel bokstaver eller geometriske former. 

Se en videopresentasjon ved Løges foredrag i Las Vegas nedenfor.

Via Kaspersky og ArsTechnica

Passord