Android Lock Pattern, la vulnerabilità è la stessa di password e pin

Android Lock Pattern, la vulnerabilità è la stessa di password e pin

L'approccio che l'utente medio usa nella composizione di un pattern per il blocco/sblocco dei telefoni Android è lo stesso usato per creare password e pin: la pigrizia dell'utente ha ancora la meglio

di pubblicata il , alle 17:31 nel canale Sicurezza
Android
 

Gli incidenti di sicurezza informatica avvenuti nel mondo nel corso degli ultimi anni hanno messo in luce come molti utenti facciano spesso uso di password estremamente semplici. Come già avevamo avuto modo di riscontrare con questa notizia, le password maggiormente usate sono spesso combinazioni semplici di caratteri sulla falsariga di "12346", "0000" o anche "password".

Con il debutto di Android, nel 2008, Google ha introdotto il sistema "Android Lock Pattern", una griglia composta da nove nodi disposti in configurazione 3x3, che permette all'utente di scegliere invece di una normale password o di un pin, un percorso che tocchi da quattro a nove nodi per bloccare e sbloccare il telefono. Lo scopo di fondo è quello di mettere a disposizione dell'utente un sistema semplice da usare ma che offra una elevata complessità potenziale nella creazione di percorsi, o pattern, più o meno complicati per mantenere il telefono meno vulnerabile a tentativi di intrusione.

Tuttavia questo sistema sembra anch'esso seguire una serie di comportamenti prevedibili e molto spesso può contare solo su una porzione limitata della complessità che è in grado di offrire. L'uso di Android Lock Pattern è relativamente recente e non è possibile disporre di particolari dati in merito, ma una ricerca condotta da una studentessa della Norwegian University of Science and Technology suggerisce che la prevedibilità dei pattern potrebbe presto o tardi renderli proni alle stesse tipologie di attacchi cui sono sottoposte le password.

Nella preparazione della sua tesi di master Løge ha raccolto ed analizzato circa 4 mila ALP riscontrando che una fetta piuttosto consistente, il 44% circa, ha come punto di partenza l'angolo superiore sinistro dello schermo e che il 77% inizia in uno dei quattro angoli. Mediamente vengono usati pattern a cinque nodi, che rispondono a meno di 9000 combinazioni possibili. Una percentuale significativa di pattern è composta invece da appena quattro nodi, riducendo le combinazioni disponibili ad appena 1624. Seguendo uno schema umano paurosamente prevedibile i pattern si sviluppano molto più frequentemente da sinistra verso destra e dall'alto verso il basso. Anche gli utenti mancini, insospettabilmente, tendono ad usare gli stessi punti di partenza dei destrorsi.

"Gli esseri umani sono prevedibili. Nella creazione di un pattern lock abbiamo riscontrato gli stessi schemi che stanno alla base della creazione dei pin e delle password alfanumeriche" ha dichiarato Løge in occasione della PasswordCon di Las Vegas presentando un intervento dal titolo Tell Me Who You Are, and I Will Tell You Your Lock Pattern.

Come detto in precedenza, gli ALP possono contenere un minimo di quattro nodi e un massimo di nove nodi, offrendo quindi la possibilità di comporre 389 mila combinazioni differenti. Løge ha chiesto ai soggetti del suo studio di creare tre ALP: uno che proteggesse una fittizia app di shopping, uno per una fittizia app di banking e uno per sbloccare lo smartphone. I pattern a 4 nodi sono stati quelli più ampiamente utilizzati, seguiti da quelli a 5 nodi. Dall'analisi emerge inoltre come l'utenza femminile sia più incline a scegliere pattern brevi e di semplice composizione.

Non è infatti solamente il numero di nodi toccati che determina quanto un ALP possa cadere sotto i colpi di un attacco simil-bruteforce. La sequenza specifica dei nodi toccati è un altro importante elemento che aggiunge complessità al pattern. Ipotizzando di assegnare ai nodi gli stessi numeri di un normale tastierino del telefono, la combinazione 1236 ha una complessità inferiore rispetto a 2136 dove si verifica un cambiamento di direzione del pattern. Già nel 2014 un gruppo di ricercatori aveva determinato un sistema a punteggio per descrivere e valutare la complessità di un pattern lock: fissati in 6,6 e 46,8 gli estremi minimi e massimi della scala di punteggio, lo studio condotto da Lødge ha verificato come il punteggio medio sia di 13,6 mentre il punteggio più alto rilevato sia stato di 44,4. Tuttavia è opportuno osservare che un pattern caratterizzato da un elevato punteggio di complessità può risultare difficile da ricordare.

Altro aspetto interessante che emerge dall'analisi di Løge è la tendenza (il 10% circa dei casi) di comporre il pattern lock in maniera tale che ricordi una lettera dell'alfabeto e che spesso corrisponde all'iniziale del nome dell'utente o di un individuo a lui prossimo (marito, moglie, figlio e via discorrendo). "E' stato divertente vedere che per ricordare un pattern le persone usano la stessa strategia usata per ricordare una password. Si vede lo stesso tipo di comportamento" ha commentato Løge.

Alla luce di questi aspetti i criminali informatici potrebbero torvare il modo di raccogliere un grande numero di ALP e costruire un modello matematico per migliorare le capacità di prevedere e indovinare un pattern lock. Per cercare di rendere più sicuro un pattern lock vale lo stesso approccio che si dovrebbe usare normalmente con un pin o una password: elaborarne uno di adeguata complessità, evitare sequenze ovvie, sfruttare quanti più nodi possibili e inserire incroci, una pratica che rende più difficile l'individuazione di un pattern lock ad occhi indiscreti. A tal proposito è consigliabile diasattivare anche la visualizzazione grafica del pattern che rende più difficili i tentativi di "shoulder surfing" ovvero lo spiare le azioni compiute dal soggetto stando alle sue spalle.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

16 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Cloud7621 Agosto 2015, 18:05 #1
Anche no, la vulnerabilità non è affatto la stessa, è molto di più.
Statisticamente a me sembra più vulnerabile che una password, ma di parecchio.
Lì ci sono 9 punti che vanno toccati formando un percorso con un minimo di 4 fino a 9.
Anche utilizzando la password con lo stesso numero minimo, ovvero 4, le probabilità di combinazioni aumentano enormemente dato che una password può essere costituita da lettere, numeri, ecc senza contare maiuscole e minuscole. Le variabili sono enormemente di più che 9 miseri punti.
Anche contando solo i numeri si avrebbero comunque 10 variabili, quindi una in più, e senza un percorso lineare tra una variabile e l'altra.
Quello serve solo per lo sblocco rapido, non come meccanismo di sicurezza al posto di una password.
leen1521 Agosto 2015, 18:36 #2
Secondo me il problema non sta tanto nell'implementazione, quanto piu per lo scopo di utilizzo come dice Cloud76.
Non puoi pensare che se sblocco il telefono 20 volte all'ora sto li a fare un pattern da 9 punti, perdo piu tempo a sbloccare il telefono che ad usarlo!
lucusta21 Agosto 2015, 19:42 #3
In realtà è di molto inferiore rispetto ad una password.
Consideranolo una sorta di tastierino numerico, oltre quello che hai detto c'è:
Per sua funzione non puoi avere 2 cifre sequenziali uguali;
Ha il vincolo di poter usare solo cifre vicine, quindi gli angoli riducono le possibilità di varianza a 3, i bordi a 4 e solo il centro 8.

In questo addirittura un pin a 4 cifre è di gran lunga migliore...
Cloud7621 Agosto 2015, 19:48 #4
Sì l'avevo detto
Anche contando solo i numeri si avrebbero comunque 10 variabili, quindi una in più, [U]e senza un percorso lineare tra una variabile e l'altra[/U].


Tu hai esemplificato il discorso.
sekkia22 Agosto 2015, 10:03 #5
Originariamente inviato da: lucusta
Ha il vincolo di poter usare solo cifre vicine, quindi gli angoli riducono le possibilità di varianza a 3, i bordi a 4 e solo il centro 8.


Questo non è del tutto vero: la sequenza può contenere anche punti non contigui

Ovviamente ciò non toglie il fatto che il PIN sia decisamente meglio
Cloud7622 Agosto 2015, 10:07 #6
A parte il discorso sulla in-sicurezza su cui siamo d'accordo, quindi non è vero che la griglia serve per fare un percorso di linee ed intersezioni come scritto? Non vanno disegnate linee ma toccati i 9 punti della griglia come punti a sé stanti?
FirePrince22 Agosto 2015, 10:42 #7
Un meccanismo di sblocco idiota; molto meglio un tastierino numerico e un codice a sei cifre.
lucusta22 Agosto 2015, 11:53 #8
Non credo si possa generare una sequenza con tocco non contiguo:
Già solo 9! ha come risultato 362880, ben superiore a 140704 combinazioni calcolate da loro per un codice a 9 punti.
Oltretutto, se potesse essere non contiguo avrebbe tutte le caratteristiche di un pin a 9 cifre, invece che le 10 a cui generalmente si è abituati (mancherebbe solo lo 0).

Una combinazione di 9 caratteri per una lunghezza di 9 cifre con ripetizione e disposizione libera dei caratteri ha un risultato di 4410806400, a cui vanno sommate le combinazioni con ripetizione ottenute con lunghezza inferiore a 9 e superiore a 3.
Per me è la sommatoria delle combinazioni con ripetizione di 9 caratteri con lunghezza totale tra 4 e 9, senza ripetizioni contigue e con grado di libertà limitato a seconda del carattere; quindi plausibile con il risultato che hanno ottenuto.
Diversamente avrebbero sbagliato l'algoritmo....
bobafetthotmail22 Agosto 2015, 14:58 #9
Bah, io lascio il blocco schermo a scorrimento e tengo il telefono come se fosse il mio TESSSSORO (o lo tengo in mano o mi sta davanti mentre lo guardo o sta in tasca davanti e non dietro).

Se ogni volta che lo devo sbloccare devo scrivere pin o fare macchiavelli perdo più tempo a sbloccarlo che ad usarlo.

Avendo un sony Xperia Sole di colore rosso le probabilità che interessi a qualcuno sono praticamente negative.
MiKeLezZ23 Agosto 2015, 15:30 #10
ehm vorrei ricordare che questo sistema è nato come semplice escamotage per evitare che qualcuno possa accedere al nostro telefono mentre magari siamo in bagno, siamo usciti oppure l'abbiamo lasciato al bar... non come sistema di sicurezza dati
è più facilmente attaccabile, ma è anche più veloce da eseguire e più semplice da memorizzare

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^