Doporuceni

Klíčové vzory jsou stejně předvídatelné jako hesla „1234567“ a „password“ – Hacker

Četné úniky dat opakovaně ukázaly, že nejběžnější hesla (a také nejzranitelnější) jsou variace na téma „heslo“, „p@$$w0rd“ a „1234567“. Když Android v roce 2008 představil vzorové klíče, zdálo se, že by to mohl změnit. Nyní je jasné, že situace se vzorovými klíči se od situace s běžnými hesly příliš neliší. Marte Løge, absolventka Norské univerzity vědy a techniky, provedla výzkum na toto téma během obhajoby své diplomové práce. Løge přednesla na konferenci PasswordsCon v Las Vegas přednášku „Řekni mi, kdo jsi, a já ti řeknu, jak vypadá tvé vzorové heslo“.

Protože graficky jsou klíče stále relativně mladé a je obtížné shromáždit velké množství příkladů skutečných klíčů „ze života“, byl Lögeové vzorek malý – analyzovala 4 000 vzorů zámků (ALP) pro Android. Nicméně data získaná na výstupu se ukázala jako zajímavá.

„Lidé jsou předvídatelní. U grafických hesel vidíme stejný přístup, jaký lidé používají při vytváření PIN kódů a běžných alfanumerických kombinací,“ řekl Løge na konferenci. ALP může obsahovat nejméně čtyři uzly a ne více než devět, což dává celkem 4 9 možných kombinací. Stejně jako u běžných hesel se počet kombinací exponenciálně zvyšuje s délkou grafického klíče.

Délka grafického klíče Počet kombinací
4 1,624
5 7,152
6 26,016
7 72,912
8 140,704
9 140,704

Celkově jsou hlavní shromážděné údaje následující:

  • 44 % ALP začíná v levém horním uzlu
  • 77 % začíná v jednom ze čtyř rohů obrazovky
  • 5 – průměrný počet uzlů zapojených do grafického hesla, což znamená, že hacker by musel vyzkoušet méně než 8 000 kombinací.
  • V mnoha případech se grafické heslo skládá ze 4 uzlů, což je méně než 1,624 XNUMX kombinací.
  • Nejčastěji se ALP zadává zleva doprava a shora dolů, což také výrazně usnadňuje výběr.

Løge požádal respondenty, aby vytvořili tři různé ALP: jeden pro bankovní aplikaci, jeden pro nákupní aplikaci a jeden pro odemykání chytrého telefonu.
Drtivá většina dotázaných mužů a žen bohužel vytvořila klíče o 4-5 uzlech. Nejméně oblíbená mezi uživateli byla z neznámého důvodu hesla o 8 uzlech a více „hlasů“ získala i hesla o maximálně 9 uzlech.
Na obrázku níže je horní sloupec pro hesla mužů, spodní sloupec pro hesla žen:

Muži obecně vytvářejí složitější a delší hesla než ženy. Mladí muži mají nejsložitější hesla. Obrázek níže ukazuje rozdíl ve složitosti hesla:

Počet uzlů však není jediným důležitým faktorem při vytváření bezpečného vzoru. Klíčem k takovému heslu je také specifická sekvence, ve které jsou uzly propojeny. Pokud uzlům hesla přiřadíte čísla a uspořádáte je stejným způsobem, jako jsou uspořádány na běžné telefonní klávesnici, je sekvence 1, 2, 3, 6 mnohem méně bezpečná než sekvence 2, 1, 3, 6, která mění směr.
Muži zde také volí spolehlivější kombinace, jako je například sekvence 2, 3, 1. Ženy téměř nikdy nevolí kombinace s průniky. Löge poznamenává, že lidé obecně mají potíže se zapamatováním si vysoce složitých vzorů.

Přečtěte si více
Kia Cadenza - Vypnutí inteligentního tempomatu - tlačítko a spínač inteligentního tempomatu

Tým výzkumníků formalizoval systém pro hodnocení složitosti klíčových vzorů již v roce 2014 a prezentoval článek s názvem „Rozbor odemykání vzorů: Vliv měřiče síly vzorů na výběr vzorů“.
Na základě tohoto systému pro hodnocení spolehlivosti kombinací získal Löge následující čísla: nejméně spolehlivé heslo mezi dotázanými získalo 6,6 bodu, nejspolehlivější – 46,8 bodu. Průměrná spolehlivost hesla byla 13,6 bodu.

Grafické klíče byly mimo jiné náchylné ke stejné „nemoci“ jako alfanumerická hesla, pro která uživatelé často používají běžná slova. Více než 10 % hesel, která Löge obdržel, se ukázalo jako obyčejná písmena, která uživatelé kreslili na obrazovku. Ještě horší je, že se téměř vždy ukázalo, že se nejednalo jen o písmeno, ale o první písmeno jména dotazované osoby, jejího manžela/manželky, dítěte a tak dále. Pokud se útočník pokusí hacknout chytrý telefon a zná jméno oběti, vše se velmi zjednoduší.

„Bylo opravdu vtipné vidět, že lidé používali stejnou strategii memorování, na kterou byli zvyklí u alfanumerických hesel. Stejný způsob myšlení,“ řekla Løge. Ukazuje se, že pokud se útočníkům podaří shromáždit dostatečně velký počet vzorových klíčů, mohou použít Markovův model, což by výrazně zvýšilo jejich šance na úspěch. Løge se ve své zprávě na tuto hackerskou metodu z etických důvodů nezaměřila.

Závěrem Løge poskytl řadu tipů, jak zvýšit zabezpečení ALP. Zaprvé byste měli v grafickém klíči použít více uzlů, což heslo učiní složitějším. Zadruhé byste měli přidat průniky, protože útočníkům ztěžují uhodnutí kombinace a pomohou útočníka zmást, pokud se rozhodne nahlédnout oběti přes rameno. Zatřetí byste měli v nastavení zabezpečení Androidu vypnout možnost „zobrazit vzor“: pokud se čáry mezi tečkami na obrazovce nezobrazí, bude ještě obtížnější nahlédnout na vaše heslo.

Foto: Marte Løge

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Back to top button