Gli utenti di dispositivi Android possono sbloccare il display inserendo una sequenza. Questa funzione è comoda e quindi popolare, tuttavia, meno sicura del blocco con un PIN. Un team di ricerca internazionale consiglia quindi di implementare una blocklist sui dispositivi Android che vieti i 100 pattern più diffusi, che sono quindi i più facili da indovinare. Proprio come questo debba essere creato è stato studiato da Philipp Markert dell'Horst Görtz Institute for IT Security presso la Ruhr-Universität Bochum insieme ai colleghi della George Washington University e della Marina degli Stati Uniti.

Il team guidato dal professor Adam Aviv della George Washington University presenterà i risultati all'USENIX Symposium on Usable Privacy and Security, che si terrà dall'8 al 10 agosto come conferenza virtuale. I dati sono disponibili in anticipo come prestampa liberamente accessibile.

Come sono i pattern Android più popolari

"Sebbene il PIN a quattro cifre consenta agli utenti 10.000 diverse combinazioni, in teoria possono esserci 389.112 versioni dei modelli Android disegnate su una griglia tre per tre", spiega Collins Munyendo, primo autore della pubblicazione della George Washington University . "Tuttavia, gli utenti non sfruttano al massimo queste opzioni". In alcune parti del mondo in cui le persone leggono dall'alto a sinistra verso il basso a destra, i modelli sotto forma di lettere, come Z, L o W, sono particolarmente popolari. Circa il 49 percento di tutti i modelli inizia in alto a sinistra; Il 32,5 percento termina in basso a destra:questo rende più facile per gli attaccanti indovinare uno schema.

Varie blocklist messe alla prova

Nell'attuale studio online, il team di ricerca ha testato in che modo gli elenchi di blocchi di diverse lunghezze influiscono sulla sicurezza e sull'usabilità. Avevano 1.006 persone che selezionavano un nuovo schema di sblocco. Alcuni dei partecipanti hanno potuto scegliere tra tutte le possibilità teoricamente concepibili (gruppo di controllo); alcuni modelli sono stati esclusi per gli altri cinque gruppi, per cui sono state utilizzate cinque blocklist di diverse lunghezze. Se un utente selezionava una sequenza bloccata, veniva mostrato un avviso e doveva inserire una nuova sequenza.

I ricercatori avevano identificato in uno studio precedente quali erano i modelli Android più popolari. La più breve delle cinque blocklist testate conteneva i dodici pattern più popolari dello studio precedente, la blocklist più lunga conteneva i 581 pattern più popolari.

Lista bloccata con 100 schemi consigliati

"L'elenco di media lunghezza con 100 schemi bloccati è il miglior compromesso tra sicurezza e usabilità", riassume Miles Grant della George Washington University. Con questa blocklist, gli utenti hanno impiegato in media 19 secondi per selezionare un pattern non bloccato. A titolo di confronto:nel gruppo di controllo è stato selezionato un pattern in 13 secondi. Una volta scelto un pattern, gli utenti sono stati in grado di ricordarlo bene:il 99,54% ricordava correttamente il pattern che aveva impostato, mentre la cifra era del 100% nel gruppo di controllo.

La sicurezza aumenta, anche con la blocklist più breve

I ricercatori hanno anche verificato fino a che punto le liste di blocco hanno influito sulla sicurezza dei modelli. Hanno simulato la facilità con cui un aggressore potrebbe indovinare lo schema di un telefono cellulare rubato. Senza una blocklist, la probabilità di successo era del 23,7% dopo 30 tentativi di ipotesi. Con la blocklist più lunga, era del 2,3%. L'elenco consigliato con 100 schemi bloccati ha ridotto le possibilità di successo a circa il 7,5%.

"Una lista bloccata con 100 voci aumenterebbe quindi già in modo significativo la sicurezza, ma richiederebbe un piccolo sforzo aggiuntivo da parte degli utenti durante la configurazione", riassume Philipp Markert. "Il layout con griglie tre per tre, che gli utenti conoscono e apprezzano, rimarrebbe invariato". Al contrario, altre idee per migliorare la sicurezza dei pattern Android includevano una griglia quattro per quattro o una disposizione casuale dei punti della griglia sul display.