È abbastanza facile indovinare i modelli di blocco Android

Nuove ricerche rivelano che i modelli di blocco Android sono facilmente prevedibili

È davvero sorprendente sapere che la maggior parte dei modelli di blocco Android è prevedibile perché le persone generalmente usano le combinazioni più comuni.

Google ha introdotto i Modelli di Blocco Android (ALP) o alternativa alla password nel 2008, quando ha lanciato il suo sistema operativo Android.

Nel sistema di modelli di blocco della schermata di blocco di Android, gli utenti devono semplicemente disegnare alcune linee tra i nodi invece di digitare una password o un PIN. Pertanto, è molto più facile ricordarli e usarli rispetto alle password.

Tuttavia, Marte Løge, una laureata della Università Norvegese di Scienza e Tecnologia, ha condotto uno studio su circa 4.000 modelli di blocco. Sorprendentemente, il suo studio ha rivelato che questi modelli sono abbastanza facili da indovinare e c’è la possibilità che stiamo usando uno di questi ALP facili.

Questo studio faceva parte della sua tesi di master e ha scoperto che c’erano alcune cattive pratiche comunemente utilizzate nell’applicazione di questi modelli.

La settimana scorsa, Løge ha tenuto una presentazione sul tema “Dimmi chi sei e ti dirò il tuo modello di blocco” che si è svolta alla conferenza PasswordsCon a Las Vegas. Poi ha detto a Ars Technica che ‘gli esseri umani sono prevedibili’, ha continuato “Stiamo vedendo gli stessi aspetti utilizzati nella creazione di modelli di blocco [come quelli usati nei] codici PIN e nelle password alfanumeriche.”

Fondamentalmente, gli ALP coinvolgerebbero un minimo di quattro nodi e un massimo di nove, per un totale di 389.112 modelli possibili.

Ecco la suddivisione:

Le sue scoperte hanno rivelato alcuni fatti interessanti, ha scoperto che i modelli che iniziavano dal nodo in alto a sinistra dello schermo costituivano quasi il 44% di questi modelli. Quelli che iniziavano da uno dei quattro nodi angolari costituivano il 77% dei modelli.

È stato osservato che gli utenti di solito usavano circa cinque nodi, il che portava a circa 9000 combinazioni di modelli prevedibili.

I modelli più comuni utilizzavano solo quattro nodi e questo riduce la possibilità di combinazioni comuni a solo 1.624, rendendoli facili da indovinare.

I modelli più comunemente usati consistevano nel muoversi da sinistra a destra e dall’alto verso il basso, rendendo ulteriormente facile indovinare il modello.

Il suo studio ha anche indicato che maschi e femmine tendono a creare modelli in modi distinti e prevedibili. Ha osservato che entrambi i sessi preferivano utilizzare un modello a nove nodi la maggior parte delle volte e raramente usavano il modello a otto nodi, anche se entrambi questi fornivano quasi lo stesso numero di opzioni possibili di modelli.

Le sue scoperte hanno anche rivelato che, indipendentemente dal loro genere, i punti di partenza utilizzati dai mancini erano simili a quelli dei loro omologhi destrorsi.

Løge afferma che non è solo il numero di nodi utilizzati negli ALP, ma anche la sequenza specifica dei nodi utilizzati nel modello che aiuta a indovinare la sequenza del modello. Ha spiegato questo dando un esempio: “Assegnando ai nove nodi le stesse cifre trovate su un’interfaccia telefonica standard, la combinazione 1, 2, 3, 6 riceverà un punteggio di complessità inferiore rispetto alla combinazione 2, 1, 3, 6, poiché quest’ultimo modello cambia direzione.”

Ha anche scoperto che, in confronto, i maschi usano modelli più complessi come la sequenza 2,3,1 e le femmine raramente preferiscono utilizzare i crossover.

In caso di violazioni delle password, è stato scoperto che le password più comuni violate erano “1234567” e “letmein”.

Løge afferma che, simile alle password, anche gli ALP hanno una debolezza simile, ha scoperto che quasi il 10% dei modelli assumeva la forma della lettera alfabetica che corrispondeva all’iniziale del nome dell’utente o del coniuge o del figlio o di qualsiasi altra persona molto vicina all’utente. Questo indicava che c’è una possibilità su dieci che un attaccante possa prevedere l’ALP. Supponiamo che l’attaccante conosca i nomi della vittima o delle loro persone, diventa ancora più facile indovinare.

“È stato davvero divertente vedere che le persone usano lo stesso tipo di strategia per ricordare un modello come una password,” ha detto Løge. “Vedi lo stesso tipo di comportamento.”

Løge afferma che raccogliendo un numero enorme di ALP è possibile costruire un “modello di Markov” che può aiutare gli attaccanti a prevedere gli ALP.

Modi per migliorare gli ALP e renderli a prova di attacco:

Løge ha detto a Ars Technica che ci sono modi per migliorare queste password a modello e ha anche fornito alcuni suggerimenti per aiutare gli utenti.

Løge afferma che è essenziale utilizzare un gran numero di nodi e mirare sempre a creare un modello che si incroci in modo che sia difficile da distinguere da lontano.

Consiglia anche che gli utenti devono disattivare “mostra modello” andando nelle impostazioni di sicurezza del dispositivo del loro telefono.

Un altro consiglio importante è di smettere di iniziare il modello dal nodo in alto a sinistra.

Ora che i lettori hanno compreso i pericoli dell’uso dei comuni modelli di blocco, cercate di rendere i vostri ALP più complessi e utilizzate i crossover per evitare di essere attaccati da qualche malintenzionato.