Come rendere più sicuri i modelli di sblocco di Android
Gli utenti di dispositivi Android possono sbloccare il display inserendo una sequenza. Questa funzione è comoda e quindi popolare, tuttavia, meno sicura del blocco con PIN. Un team di ricerca internazionale consiglia quindi di implementare una blocklist sui dispositivi Android che vieti i 100 pattern più diffusi, che sono quindi i più facili da indovinare. Philipp Markert dell’Horst G枚rtz Institute for IT Security presso la Ruhr-Universit盲t Bochum, insieme ai colleghi della George Washington University e della Marina degli Stati Uniti, ha studiato con precisione come questo debba essere creato.
Il team guidato dal professor Adam Aviv della George Washington University presenterà i risultati al USENIX Symposium on Usable Privacy and Security, che si terrà dall’8 al 10 agosto come conferenza virtuale. I dati sono disponibili in anticipo come prestampa liberamente accessibile.
Come sono i modelli Android più popolari
“Mentre il PIN a quattro cifre consente agli utenti 10.000 combinazioni diverse, in teoria possono esistere 389.112 versioni dei modelli Android disegnate su una griglia tre per tre”, spiega Collins Munyendo, primo autore della pubblicazione della George Washington University . “Tuttavia, gli utenti non sfruttano al massimo queste opzioni”. In alcune parti del mondo in cui le persone leggono dall’alto a sinistra in basso a destra, i modelli sotto forma di lettere (come Z, L o W) sono particolarmente popolari. Circa il 49% di tutti i modelli inizia in alto a sinistra; Il 32,5% finisce in basso a destra, questo rende più facile per gli attaccanti indovinare uno schema.
Diverse blocklist messe alla prova
Nell’attuale studio online, il team di ricerca ha testato come le blocklist di diversa lunghezza influenzino la sicurezza e l’usabilità. Hanno fatto selezionare a 1.006 persone un nuovo schema di sblocco. Alcuni dei partecipanti sono stati in grado di selezionare tra tutte le possibilità teoricamente concepibili (gruppo di controllo); alcuni modelli sono stati esclusi per gli altri cinque gruppi, per cui sono state utilizzate cinque blocklist di diversa lunghezza. Se un utente selezionava un modello nella lista bloccata, gli veniva mostrato un avviso e doveva inserire un nuovo modello.
I ricercatori avevano identificato in uno studio precedente quali erano i modelli Android più popolari. La più breve delle cinque blocklist testate conteneva i dodici pattern più popolari dello studio precedente, la blocklist più lunga conteneva i 581 pattern più popolari.
Blocklist con 100 modelli consigliati
“L’elenco di media lunghezza con 100 modelli bloccati è il miglior compromesso tra sicurezza e usabilità”, riassume Miles Grant della George Washington University. Con questa lista bloccata, gli utenti hanno impiegato in media 19 secondi per selezionare un modello non nella lista bloccata. A titolo di confronto: nel gruppo di controllo è stato selezionato un modello in 13 secondi. Una volta scelto uno schema, gli utenti erano in grado di ricordarlo bene: il 99,54 percento ricordava correttamente lo schema che avevano impostato, mentre la cifra era del 100 percento nel gruppo di controllo.
La sicurezza aumenta, anche con la blocklist più corta
I ricercatori hanno anche verificato in che misura le liste bloccate hanno influito sulla sicurezza dei modelli. Hanno simulato la facilità con cui un utente malintenzionato potrebbe indovinare lo schema di un telefono cellulare rubato. Senza una lista bloccata, la possibilità di successo era del 23,7% dopo 30 tentativi di supposizione. Con la blocklist più lunga, era del 2,3 percento. L’elenco consigliato con 100 modelli bloccati ha ridotto le possibilità di successo a circa il 7,5%.
“Una lista bloccata con 100 voci aumenterebbe quindi in modo significativo la sicurezza, ma richiederebbe poco sforzo aggiuntivo da parte degli utenti durante l’installazione”, riassume Philipp Markert. “Il layout con griglie tre per tre, che gli utenti conoscono e apprezzano, rimarrebbe invariato”. Al contrario, altre idee per migliorare la sicurezza dei modelli Android includevano una griglia quattro per quattro o una disposizione casuale dei punti della griglia sul display.
