Quando il pattern è ben riconosciuto

Pattern o sequenza che protegge e blocca il cellulare ?
Vorrei parlarvi di Marte Løge, una ragazza norvegese che per un anno si è dedicata agli ALP (Android Lock Patterns) e ha pubblicato una ricerca davvero interessante.
La ricercatrice ha studiato, come parte della propria tesi,  quel sistema di sicurezza molto diffuso su piattaforme Android (smartphone e tablet in primis) che consente di bloccare il cellulare “disegnando” una linea (una linea tra punti, precisamente) che utilizzi da un minimo di 4 ad un massimo di 9 punti sullo schermo.

E’ davvero sicuro ?

Un ALP contiene potenzialmente un totale di 389.112 combinazioni. Chiaramente il numero delle combinazioni possibile cresce esponenzialmente in base alla lunghezza del pattern costruito, ad ogni punto che si aggiunge. Qui  riportiamo una tabella che riassume le combinazioni possibili in base alla lunghezza della linea (cioè i punti attraversati).

LUNGHEZZA (PUNTI ATTRAVERSATI)NUMERO DI COMBINAZIONI
41.624
57.152
626.016
772.912
8140.704
9140.704

La ricercatrice ha preso in considerazione più di 4.000 schemi, dopo aver richiesto alle “cavie” di creare 3 pattern differenti. Uno per proteggere una app per lo shopping, un pattern per proteggere una ipotetica app per l’home banking e uno per sbloccare il telefono.

I risultati

il pattern più utilizzato è risultato essere una linea che attraversava 4 punti, raramente i 5 punti. Questo significa che le possibilità erano di 1624 combinazioni e raramente di spingevano a 7152 combinazioni. Dal campione utilizzato sembrerebbero leggermente più attenti alla sicurezza gli uomini rispetto alle donne. In assoluto lo schema meno utilizzato è quello da 8 punti, gli umani piuttosto ne usano 9. Lo schema qui sotto, rappresenta in blu lo schema per lo shopping, in verde il pattern per lo sblocco smartphone e in arancione quello ipotetico per l’home banking.

pattern-android-statistiche
Dettaglio Statistica Lunghezza Pattern

Sempre peggio

Ma il problema non si ferma qui. Il 44 percento dei pattern identificati parte con il punto in alto a sinistra. Il 77 % dei pattern parte in ogni caso da un angolo, inoltre più spesso di quanto non si pensi i pattern tendono a muoversi solamente o dall’alto verso il basso o da sinistra verso destra. Tutti fattori che aiutano a “indovinare” più facilmente il pattern. Il problema del pattern diventa poi la complessità, infatti la ricerca evidenza che i pattern più utilizzati si rifanno a lettere o iniziali di parole come suggerito nell’immagine

pattern-semplici
I pattern riconosciuti come “più comuni”

Qualcuno di voi sta riconoscendo il proprio pattern ?

Conclusioni

Che il metodo non fosse proprio sicuro, lo si sapeva. Su internet ci sono almeno 10 metodi differenti per bypassare lo screen pattern di Android. Fondamentalmente si tratta di rimuovere due file gestures.key e password.key dal proprio device per bypassare questa forma di autenticazione. Resta comunque interessante la ricerca su come lo spettro umano approcci il problema di security e come affronti le conseguenti soluzioni.
Speriamo di avervi dato qualche spunto di riflessione che vi indica a cambiare metodo di autenticazione o perlomeno a creare pattern con una complessità “interessante”.

 

 

 

 

Se l'articolo ti è piaciuto, lascia un like !
Oppure condividi questa pagina

Maurizio Bertaboni

Nato a Milano, vive da sempre sul lago di Garda. Suona il pianoforte, il basso elettrico e da qualche anno si cimenta con il violino. Si è di recente iscritto a un corso di scultura del legno. Ottiene misteriosamente la maturità classica nonostante dedichi interamente le sue giornate al PC, trascurando gli amici Seneca e Cicerone. Nel 1999 si avvicina al mondo Linux, nel 2000 incontra i Macintosh, diventa web designer e infine sistemista. Nel 2006 decide di mettersi in proprio come consulente in ambito enterprise, scoprendosi, ogni giorno di più, programmatore. Dal 2010 è in BeSafe in qualità di socio, dove si butta a capofitto nella programmazione sicura (in ambienti opensource) legata all’erogazione di servizi. Da sempre appassionato di retrocomputing e modding, si sente l’"hacker del gruppo"

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.