Smartphone Security Wie Entsperrmuster bei Android-Geräten sicherer als Pins werden

Redakteur: Stefan Guggenberger

Forscher empfehlen eine Sperrliste für Muster auf Android-Geräten, welche die 100 am leichtesten zu erratenden Kombinationen ausschließt. Selbst nach dieser Einschränkung können die Entsperrmuster deutlich mehr Varianten als ein vierstelliger Pin bieten.

Firmen zum Thema

Ein großer Teil der Android-Nutzer verwendet nur wenige Entsperrmuster, die zudem leicht zu erraten sind. Durch die Sperrung dieser beliebten Muster könnte die Sicherheit deutlich erhöht werden.
Ein großer Teil der Android-Nutzer verwendet nur wenige Entsperrmuster, die zudem leicht zu erraten sind. Durch die Sperrung dieser beliebten Muster könnte die Sicherheit deutlich erhöht werden.
(Bild: RUB, Marquard)

Android-Nutzer setzen bei der Sperrung ihrer Endgeräte gerne auf Entsperrmuster, was im Vergleich zur Sperrung durch einen Pin oft die Sicherheit gefährdet. Zwar bieten die Muster insgesamt 389.112 Varianten und ein vierstelliger Pin nur 10.000, sind in der Praxis aber trotzdem weniger sicher: „Die theoretischen Möglichkeiten nutzen die Anwender allerdings nicht aus“, erklärt Collin Munyendo von der George Washington University. Stattdessen wird nur eine kleine Zahl an Mustern eingesetzt, die oft gleich aufgebaut sind.

Um den Nutzern nun mehr Sicherheit zu geben, erarbeitet ein internationales Forscherteam vom Horst-Görtz-Institut (HGI) für IT-Sicherheit der Ruhr-Universität Bochum zusammen mit Kollegen von der George Washington University und der United States Navy eine Sperrliste der 100 beliebtesten und somit am leichtesten zu erratenden Muster, die auf den Geräten implementiert werden soll.

Im Westen sind Buchstabenmuster besonders beliebt

Bei ihrer Analyse haben die Forscher untersucht, wie die verwendeten Enstperrmuster aufgebaut sind. Dabei zeigt sich, dass im Sprachraum, in dem von oben links nach unten recht gelesen wird, klare Präferenzen erkennbar sind: Rund 49 Prozent aller Muster starten oben links und 32,5 Prozent enden unten rechts. Dabei sind Buchstabenmuster, beispielsweise Z, L oder W, besonders beliebt. Diese Konzentration auf bekannte Kombinationen mache es Angreifern leichter, die Muster zu erraten, stellen die Wissenschaftler fest.

Sperrliste mit 100 Mustern steigert die Sicherheit erheblich

In der aktuellen Online-Studie testeten die Wissenschaftler mehrere Sperrlisten an 1.006 Personen. Zum Einsatz kamen Listen, die zwischen 12 und 581 Muster sperrten. „Die mittellange Liste mit 100 gesperrten Mustern ist der beste Kompromiss zwischen Sicherheit und Nutzbarkeit“, fasst Miles Grant von der George Washington University die Ergebnisse zusammen. Hier brauchten die Probanden im Schnitt 19 Sekunden, um ein Muster auszuwählen, wobei es ohne Sperrliste etwa 13 Sekunden dauerte. Stand das Muster fest, konnten es 99,54 Prozent der User auch gut erinnern.

Um den Effekt der Sperrlisten zu überprüfen, simulierten die Forscher Angriffe auf die Smartphones. Ohne Sperrliste lagen die Erfolgschancen nach 30 Rate-Versuchen bei 23,7 Prozent. Mit der längsten Sperrliste bei 2,3 Prozent. Die empfohlene Liste mit 100 gesperrten Mustern reduzierte die Erfolgschancen auf etwa 7,5 Prozent. „Eine Sperrliste mit 100 Einträgen würde die Sicherheit also schon deutlich erhöhen, aber den Nutzern nur wenig mehr Aufwand bei der Einrichtung bereiten“, resümiert Philipp Markert vom HGI. Hier finden Sie die bisherigen Erkenntnisse und eine Übersicht beliebter Muster.

Vorstellung der Ergebnisse folgt im August

Die Ergebnisse stellt das Team um Adam Aviv von der George Washington University auf dem Usenix Symposium on Usable Privacy and Security vor, das vom 8. bis 10. August als virtuelle Tagung stattfindet.

(ID:47543135)