Forscherin behauptet, Android Lock Patterns seien so durchschaubar wie Passwörter
Man kann gar nicht oft genug betonen wie wichtig es ist, sein Smartphone mit einer Sicherheitssperre zu versehen, sodass kein Dritter direkt auf Euer Smartphone zugreifen kann. Während der Großteil der iPhone-Nutzer wohl inzwischen auf das Entsperren via Touch ID setzen, sieht es bei Android Nutzern gemischt aus. Wenige die ich kenne setzen hier auf einen Passcode, sondern eher auf das Entsperren via Wischmuster. Eigentlich nutzt keiner das Entsperren via Kamera-Erkennung, obwohl diese mittlerweile (außer unter schlechten Lichtverhältnissen) richtig gut funktioniert.
Der Vorteil von Android ist und bleibt halt auch, dass auch andere Login-Techniken möglich sind. Hier wäre beispielsweise das Entsperren mithilfe einiger Apps genannt, die auf ein Klopfmuster (englisch: Knock-Code) setzen. LG hat diese Variante sogar seit dem LG G2 fest ins System verbaut.
Viele Nutzer fühlen sich durch das Festlegen eines Wischmusters, oder auch Android Lock Pattern (ALP), aber anscheinend auf der sicheren Seite. Nun kommt die Norwegian University of Science and Technology um die Ecke und behauptet, dass diese Lock Patterns genauso berechenbar seien wie normale Passwörter oder PINs.
Die Studentin Marte Løge hat im Rahmen ihrer Abschlussarbeit rund 4.000 Lock Patterns analysiert und dabei zuerst herausgefunden, dass 77 Prozent der Nutzer für das Entsperrmuster immer in einer der vier Ecken starten. 44 Prozent hiervon starten dabei von oben links.
Diese Ergebnisse präsentierte sie auf der PasswordsCon in Las Vegas, auf der sie Ars Technica sagte, dass man bei den Versuchspersonen die gleichen Aspekte beim erstellen von Lock Patterns beobachten kann, wie beim Erstellen von PIN Codes und alphanumerischen Passwörtern. Zudem stellte sie fest, dass die meisten Nutzer lediglich vier Punkte im Pattern zur Verbindung nutzen. Acht Punkte wären theoretisch möglich, sind aber prozentual gesehen am unbeliebtesten.
Auch kam bei der Forschung von Løge heraus, dass gut 10 Prozent der Nutzer die Patterns nutzen, um einen Buchstaben zu formen wie ein C oder ein N. Dies deutet bei den Nutzern meist auf den ersten Buchstaben des Namen eines Kindes oder einer anderen vertrauten Person hin.
Diese Verhaltensmuster bei Menschen sind sicherlich kein 100 prozentiges Indiz dafür, dass man jedes Muster direkt knacken kann, aber sie bieten auf jeden Fall schon mal einen ersten Anhaltspunkt. Marte Løge rät jedenfalls jedem Nutzer des ALP, nicht unbedingt von einer der vier Außenecken anzufangen, möglichst viele Knotenpunkte zu verbinden und die Option „Pattern sichtbar machen“ auszustellen beim Entriegeln.
Warum so kompliziert?
Handy leicht gegen das Licht halten und der „Schleifspur“ des Fingers folgen.
Ein Redakteur bei Heise hatte sein Pattern vergessen und sich so wieder „eingehackt“. Leider finde ich den Link nicht mehr, ist schon n gutes Weilchen her.
Fazit dazu: Wer nicht ständig sein Display reinigt, sprich nach jedem entsperren, bei dem ist dieser „Schutz“ für’s Sitzorgan. War aber auch nicht verwunderlich.
Interessant auch die Ergebnisse der Studie eines ihrer Kommilitonen: „Wasser ist nass. Bei einer Untersuchung von 4000 Gewässern wurde festgestellt, dass bei über 90 Prozent einen hohen Feuchtigkeitsgrad vorweisen, und mindestens 40% davon reichten bis zum Ufer.“
Es ist eben ein Schutz der nur die erst besten daher gelaufenen abhält. Ich vergleiche das eher mit einem Zaun um ein Grundstück. Wer rüber kommen will, der kommt auch rüber (oder durch). Es erschwert aber das rein kommen deutlich und das reicht meistens schon.
[Bei einem Zaun erschwert es zusätzlich noch die anschließende Flucht.]
Wenn mein Handy geklaut wird sperre ich meinen Account bzw. ändere das Passwort. Wichtige geheime Dinge sind da ohnehin nicht drauf.
Es sollte nur nicht jeder in einer unbemerkten Sekunde wenn es denn doch mal irgendwo liegen sollte damit Schabernack treiben und es dann unbemerkt zurücklegen.
Ich mache mit wenig Hoffnung, dass man sein Smartphone 100% schützen kann. Jedenfalls nicht ohne auf großen Komfort zu verzichten.
Interessante Studie ist es trotzdem. Sein Muster nicht in dem Ecken anfangen zu lassen ist ja kein Problem.
Also ich habe seit jeh her ein komplizierteres Muster mit sich kreuzenden linien.
Wenn mir dabei mal jemand auf das Display schaut wird dem meist erstmal schwindelig.
Ich meine man nimmt ja auch bei PINs keine Kombinationen wie 1234 oder 5678.
Naja, manche halt doch. Und die zeichnen dann halt auch nur ein L als Android Muster.
Wieso nich mal mehr Pattern als Muster?!? Oder ein Schachbrett 😉
Generell nicht soviel preisgeben oder speichern, dann braucht man auch keinen Pin oder whatever, cerberus für den Notfall und gut ist. Fahre seit Jahren ohne jeglichen PIN oder Muster weil es mich echt nervt wg. jedem kurzem Blick aufs Handy was zu entsperren.
Also Pascal, das Entsperren via Kamera ist auch unsicher, ein Bild aus Facebook (z. B. das öffentlich verfügbare Profilbild) und das Smartphone ist entsperrt. Halte ich in Zeiten von ausgefuchstem Social Engineering nicht für abwegig. Der Täter muss nur das Opfer kennen oder zumindest den Namen.
https://de.m.wikipedia.org/wiki/Social_Engineering_(Sicherheit)
@ Sean K. Woods
„Wieso nich mal mehr Pattern als Muster?!?“
Ich übersetze das mal für dich aus dem (D)Englischen: „Wieso nicht mal mehr Muster als Muster?!?“
😀
Finde Muster doof. Nutzte PIN.
@Name (erforderlich) er meint bestimmt ein größeres pattern als 3×3. unter cm kann man auch größere einstellen. und auch das muster ausblenden etc.
Tipp: wer sagt denn das die linien immer im 90° oder 45° Winkel abzweigen müssen. Mann kann auch so wie der Springer beim Schach ein Muster ziehen.
„dass die meisten Nutzer lediglich vier Punkte im Pattern zur Verbindung nutzen. Acht Punkte wären theoretisch möglich“
Wieso nicht 9 Punkte?
@Thomas Baumann
„Handy leicht gegen das Licht halten und der „Schleifspur“ des Fingers folgen.“
Es gibt zumindest schon mal zwei Möglichkeiten, weil man ja nicht weiß wo Anfang und Ende ist ^^
Dann können Linien auch übereinander liegen, wodurch es nochmals mehr Möglichkeiten gibt. Und wenn ich mein Telefon entsperre gehe ich nicht sauber von Punkt zu Punkt, sondern wische mein Muster kreisförmig über das Display, wobei auch Punkte erreicht werden, die ich schon hatte, wodurch nur ein schmieriges Display überbleibt.
Übrigens hinterlassen Daumen auch auf iPhones Abdrücke…
Ich meinte Felder…sry
@Sean K. Woods im Xpose gibts ein addon zm ein 8×8 Pattern zu nutzen
Hatte ich mal, hier „hatte“ ich das „Das ist das Haus vom Kikolaus“ war Cool, und hatte auch den netten neben effekt das ich es nicht mehr entsperren konnte nach ein paar Bier zu viel.
(Konnte meine Frau nicht anrufen das ich später nach Hause komme)
(Sorry schatz ich konnte dich nicht anrufen, konnte meine Pattern nicht mehr zeichnen.)
Die Untersuchungen decken sich mit meinen Erfahrungen 🙂 Ich habe bei meinem Smartphone keine Sperre drin, da ich mir kein Szenario vorstellen kann in dem es in fremde Hände gelangen kann da es immer in meiner Reichweite ist, 24 h am Tag. Von daher müsste es mir schon mit Gewalt entrissen werden und für den Fall will ich es nicht sichern, bzw. ständig diese PIN eingeben oder sonstwas.
Also da auf meinem Handy keine Daten sind die so wichtig sind, sperre ich mein Handy nicht. Es regt mich dann eher auf, dass ich es immer entsperren muss, da ich eigentlich zu oft drauf schaue.
Und wenn es mir geklaut wird, dann ist es eh kein großes Problem mehr mein Smartphone zu nutzen, viel zu leicht ist es zurück gesetzt.
Natürlich könnte jeder der es klaut so auch meine SimKarte für diverse Anrufe nutzen sofern es nicht vorher neu gestartet wird (Pin), aber ich gehe einfach mal davon aus das ich früh genug bei meinem Anbieter den Diebstahl gemeldet kriege um so das schlimmste zu verhindern.
Jede Möglichkeit der Handy-Sperre lässt sich mit mehr oder weniger Aufwand überwinden, ich nutze auch eine Wischgeste, allerdings habe ich die Nachzeichnung der Punkte ausgeschaltet und durch meine Microfaser-Tasche (fitbag) ist mein Display halbwegs wischspurenfrei. Man muss eben zwischen Comfort und Sicherheit beim Entsperren abwägen, daher setzen eben viele auf „bequeme“ Passwörter/Wischgesten… Selbst eine komplizierte Wischgeste hat man aber irgendwann gelernt…
ich nutze ein passwort und wische das mit swype. einfach einzugeben, praktisch unmöglich abzugucken. natürlich kann man auch erfundene wörter oder phrasen dem wörterbuch hinzufügen. problem gelöst.
@Fabian Schlögl: Du solltest Dich unbedingt als IT-Security-Experte bewerben! Du hast die einzig dafür notwendige Voraussetzung: „Sicherheit? Brauchen wir nicht, bei uns kann sowas nicht passieren“.
Ich verstehe nicht, warum es Menschen gibt, die meinen, die Daten auf ihrem Handy wären nicht schützenswert. Wenn man es genau nimmt, sind auf den aller meisten Handys sogar Personenbezogene Daten gespeichert, die dem Besitzer des Handys nicht gehören, und sie nicht das Recht haben, diese zu verbreiten. Fotos, Adressen, weiß der Gilb.
Vielleicht liegt es aber auch daran, dass man meint, da man das Adressbuch eh mit Facebook und Google teilt, die Fotos mit Appel oder Google, kann man das Handy auch jedem X-beliebigen in die Hand drücken, soll der sich doch auch gleich bedienen. Schade, dass man dagegen keine rechtliche Handhabe hat.