Скажи мне, кто ты, и я скажу тебе, какой у тебя графический ключ на смартфоне

Человеческую предсказуемость сложно переоценить, когда дело касается паролей. А что насчет графических ключей, мы так же предсказуемы, когда их создаем?

DEF CON 23: Скажи мне, кто ты — и я скажу тебе, какой у тебя графический ключ на смартфоне

Человеческую предсказуемость сложно переоценить. И когда дело касается паролей, PIN-кодов и тому подобного, это может стать серьезной проблемой. Многие из нас используют в качестве паролей имена, даты рождения и прочие вещи, которые несложно угадать, это не говоря уже о совсем уж негодных паролях вроде «12345», которые до сих пор остаются на удивление популярны.

А что насчет графических ключей — мы настолько же предсказуемы, когда создаем их? Оказывается, что да, очень даже предсказуемы.

DEF CON 23: Скажи мне, кто ты — и я скажу тебе, какой у тебя графический ключ на смартфоне

Исследователь Марта Логе (Marte Løge) из норвежской компании Itera (нет, к нашей газовой «Итере» эта компания не имеет никакого отношения) провела анализ того, какие графические ключи люди создают. Она просила участников исследования создать три ключа: для шопинг-приложения, экрана блокировки смартфона и банковского приложения. Результаты оказались потрясающе интересными.

Во-первых, прослеживается четкая связь между типом приложений и сложностью паттернов, которые люди создают для входа в них. Как это ни странно, люди используют для входа в смартфон более короткие графические ключи, чем для входа в банковское или даже шопинг-приложение.

Во-вторых, множество людей (порядка 10% из нескольких тысяч участников исследования) используют паттерны, похожие на буквы, благо девятиточечная система весьма неплохо для этого подходит. Такие графические ключи абсолютно ненадежны и фактически являются прямым аналогом самых идиотских паролей вроде «12345».

DEF CON 23: Скажи мне, кто ты — и я скажу тебе, какой у тебя графический ключ на смартфоне

Паттерны в виде букв — самые неудачные и самые легкоугадываемые

В-третьих, несмотря на то, что общее количество комбинаций паттернов составляет вполне внушительные 390 тыс. с небольшим, на самом деле количество вариантов для перебора можно существенно снизить благодаря человеческому фактору. Большая часть комбинаций — это ключи, в которых использованы восемь или девять точек из девяти имеющихся. Проблема в том, что такие ключи очень мало кто использует.

DEF CON 23: Скажи мне, кто ты — и я скажу тебе, какой у тебя графический ключ на смартфоне

Несмотря на то что общее количество комбинаций выглядит вполне внушительно, следует понимать, что порядка 3/4 из них — это 8- и 9-точечные ключи, которыми в реальности редко пользуются

Средняя длина ключа — около пяти точек, что не так уж хорошо для надежной защиты. Такая длина дает количество комбинаций порядка 7 тыс., что очевидно хуже, чем даже простейший PIN-код из четырех цифр. Ну а самой популярной длиной графического ключа являются четыре точки, а это всего-навсего 1600 комбинаций.

DEF CON 23: Скажи мне, кто ты — и я скажу тебе, какой у тебя графический ключ на смартфоне

Но и это еще не все: количество вариантов можно дополнительно снизить, поскольку можно с высокой вероятностью предсказать начальную точку паттерна. Примерно в половине случаев люди начинают паттерн с верхнего левого угла. Добавьте к этому нижний левый и верхний правый углы — и вы охватите 73% всех реально используемых людьми комбинаций.

DEF CON 23: Скажи мне, кто ты — и я скажу тебе, какой у тебя графический ключ на смартфоне

Причем результаты почти не зависят от того, правша человек или левша, пользуется он устройством двумя руками (более вероятно для крупных экранов) или одной рукой (вероятно для небольших экранов). Цифры в любом случае очень похожие.

DEF CON 23: Скажи мне, кто ты — и я скажу тебе, какой у тебя графический ключ на смартфоне

Еще один примечательный факт: женщины в среднем используют более слабые графические ключи, чем мужчины. И возраст тоже имеет значение: чем моложе человек, тем более вероятно, что он использует длинный паттерн. Таким образом, знание пола и возраста помогает предсказать, какой паттерн человек использует.

DEF CON 23: Скажи мне, кто ты — и я скажу тебе, какой у тебя графический ключ на смартфоне

Какие практические выводы мы можем сделать из данного исследования? Основной таков: если вы пользуетесь графическими ключами для защиты экрана блокировки Android или каких-либо важных приложений, то лучшая стратегия — делать так, как не делает почти никто. А именно:

  1. Никогда не используйте очевидные комбинации, такие как паттерны в виде букв. Настолько слабый ключ — это все равно что полное отсутствие ключа или пароля.
  2. Для стартовой точки ключа используйте те точки, которыми наименее часто пользуются. Лучший вариант — средняя точка на правой стороне. Нижний правый угол тоже отличный выбор.
  3. Лучшая длина для паттерна — это восемь или девять точек. Во-первых, это значительно увеличивает количество комбинаций. Во-вторых, такими длинными паттернами мало кто пользуется, так что подбирать их будут в последнюю очередь.
  4. И, само собой, подумайте о том, чтобы перейти с использования графических ключей на цифро-буквенные пароли. Может оказаться, что пароль, даже достаточно длинный и надежный, запомнить куда проще, чем по-настоящему стойкий к подбору графический ключ.

Мобильность конечных пользователей и её значение для бизнеса

«Лаборатория Касперского» опубликовала новый отчёт о киберугрозах по итогам второго квартала и результаты проведённого вместе с B2B International нового исследования «Риски для безопасности пользователей». При всей своей ориентированности на потребителя

Советы