Számtalan felmérés, kutatás, illetve kiszivárgott adatbázis bizonyította, hogy a felhasználók jelentik a legnagyobb biztonsági kockázatot. A hanyag, könnyen megfejthető, sémákra épülő jelszóválasztások miatt készülékek, felhasználói fiókok milliói vannak állandó veszélyben, ami akkor is így van, ha történetesen más módszerrel védenénk az adatainkat.

Bénán rajzolunk

A lesújtó eredményeket ezúttal a Norvég Műszaki Egyetem végzős hallgatója, Marte Løge szállította, aki diploma munkáját szentelte a témának. A kutatás ezúttal nem a hagyományos, karakter alapú jelszavakra, hanem az Android operációs rendszer részét képező, feloldási minta (Android Lock Patterns, ALPs) használatára irányult. Ez a módszer egy háromszor hármas felosztású rendszerben, pontok összekötésével látja el a készülék védelmét, amiről azt gondolhatnánk, hogy sokkal hatékonyabb az egyéb módszereknél, de az eredmények azt mutatják, hogy itt is ugyanolyan kiszámíthatóak vagyunk, mint a jelszavak esetében.

Minél bonyolultabb, annál jobb

Løge összesen 4000 minta elemzését végezte el, amely során kiderült, hogy a tesztalanyok 44 százalékban a bal felső sarokban kezdik a minta megrajzolását. Sőt, a tesztben résztvevők 77 százaléka a négy sarok valamelyikéből kiindulva hozta létre a feloldási mintát. A kiszámíthatóság másik faktora az volt, hogy messze nem használták ki az összeköthető pontok számát, ami egyébként minimum négy, maximum 9 lehet. Átlagban ez az érték 5 körül alakult, amivel a lehetséges kombinációk száma mindössze 9000-re csökken. De a tesztalanyok jelentős százaléka maradt a minimális négynél, ami azt jelenti, hogy mindössze 1624 variáció kipróbálásával hozzá lehet férni a készülék tartalmához.

A férfiak hosszabb mintákkal dolgoznak, főleg ha a bankügyekről van szó

Ahogy a normál jelszavaknál, a feloldási mintánál is az segít(ene), ha a felhasználók a kihasználnák mind a kilenc lehetőséget, illetve komplexebb, egymást keresztező vonalakkal ellátott mintákat rajzolnának, amivel az előbb említett variációs lehetőségek száma 389 112-re nőne. Az eredmények azonban nem ezt mutatják, hanem azt, hogy a felhasználók a minimális pontok érintése mellett jellemzően balról jobbra (még a balkezesek is), fentről lefelé indítják el a mintát, ami még könnyebbé teszi az esetleges hozzáférést.

A férfiak gondosabbak

Løge kíváncsi volt arra is, hogy van-e a különbség a férfiak és nők ALPs használata között. Nos, van, méghozzá jelentős, mivel a férfiak (főleg a fiatal korosztály) kimutathatóan hosszabb mintákat alkottak meg, főleg akkor, amikor arra kérték őket, hogy egy képzeletbeli banki alkalmazást védjenek vele. Az azonban mindkét nem esetében gyakori (10%) hiba volt, hogy a minta másolta az „12345678”, „password” és hasonló jelszavak sémáját, azaz ismerősök, családtagok, házastársak nevének kezdőbetűjét formálták meg a mintával, ami ismét csak megkönnyít egy esetleges hozzáférést.

A nevek kezdőbetűinek használata a legtipikusabb hiba

A fenti eredményekből máris kirajzolódik, hogy milyen módszerekkel tehető biztonságosabbá az Android. Marte Løge azt javasolja, hogy válasszunk minél hosszabb, bonyolultabb, a lehető legtöbb pontot összekötő mintát, illetve deaktíváljuk a „minták láthatóvá tétele” opciót a beállításokban, ami megakadályozza, hogy feloldás közben leolvasható legyen a kijelzőről.