Android Pattern Lock, la vulnerabilidad es la misma contraseña y pin

El enfoque que utiliza el usuario medio en la composición de un patrón para bloquear / desbloquear teléfonos Android es el mismo que se utiliza para crear contraseñas y PIN: el usuario de la pereza todavía tiene la ventaja.

Los incidentes de seguridad informática ocurridos en el mundo en los últimos años han puesto de relieve que muchos usuarios suelen utilizar contraseñas muy sencillas . Como ya habíamos tenido la oportunidad de encontrarnos con esta noticia, las contraseñas más utilizadas suelen ser combinaciones simples de caracteres del tipo ” 12346 “, ” 0000 ” o ” contraseña “.

Con el debut de Android en 2008, Google introdujo el sistema ” Android Pattern Lock “, una cuadrícula de nueve nudos dispuestos en configuración 3 × 3, que permite al usuario elegir en lugar de una contraseña normal o un pin, un camino que toca cuatro a nueve nudos para bloquear y desbloquear el teléfono.

El propósito del fondo es poner a disposición de un sistema simple de usar pero, que ofrece una complejidad de alto potencial en la creación de rutas, o patrones, más o menos complicados para mantener el teléfono menos vulnerable a intentos de intrusión.

Sin embargo, este sistema también parece seguir una serie de comportamientos predecibles y muy a menudo tiene que depender de una porción limitada de la complejidad que es capaz de ofrecer. El uso de Android Pattern Lock es relativamente reciente y no es posible tener datos específicos al respecto, pero una investigación realizada por un estudiante de la Universidad Noruega de Ciencia y Tecnología sugiere que la predictibilidad de los patrones podría, tarde o temprano, hacerlos propensos a lo mismo. ataques de tipo que son contraseñas de sujeto.

>En preparación de su tesis de maestría, Loge ha recopilado y analizado alrededor de 4.000 ALP y ha encontrado que una parte relativamente importante, alrededor del 44%, tiene como punto de partida la esquina superior izquierda de la pantalla y que el 77% comenzará en una de las cuatro esquinas. En promedio, se utilizan patrones para cinco nodos, que responden menos de 9000 combinaciones posibles.

Se compone un porcentaje significativo de patrón en lugar de solo cuatro nodos, lo que reduce las combinaciones disponibles solo 1624. Siguiendo un diagrama, los patrones humanos alarmantemente predecibles se desarrollan con mucha más frecuencia de izquierda a derecha y de arriba a abajo. Incluso los usuarios zurdos, sorprendentemente, tienden a utilizar los mismos puntos de partida que los diestros.

“Los seres humanos son predecibles. Al crear un patrón de bloqueo, encontramos los mismos patrones que subyacen a la creación del PIN y las contraseñas alfanuméricas ”, dijo Loge en la PasswordCon Las Vegas presentando un discurso titulado Dime quién eres y te diré tu patrón de bloqueo .

>Como se mencionó anteriormente, el ALP puede contener un mínimo de cuatro nodos y un máximo de nueve nodos, ofreciendo así la posibilidad de componer 389 mil combinaciones diferentes. Loge ha pedido a los sujetos de su estudio que creen tres ALP: uno que protegería una aplicación de compras ficticia, otro para una aplicación bancaria ficticia y otro para desbloquear el teléfono inteligente. El patrón de 4 nudos fue el más utilizado, seguido de los de 5 nudos. El análisis también muestra cómo las usuarias se inclinan más a elegir un patrón de composición breve y simple.

>No es solo el número de nodos afectados lo que determina cómo un ALP puede caer bajo los golpes de un ataque de fuerza bruta. La secuencia específica de nodos afectados es otro elemento importante que agrega complejidad al patrón. Suponiendo que se asignan los mismos números a los nodos de un teclado telefónico normal, la combinación 1236 tiene una complejidad menor en comparación con 2136, donde hay un cambio de dirección del patrón.

Ya en 2014 un grupo de investigadores había determinado un sistema de puntuación para describir y evaluar la complejidad de un patrón de bloqueo: fijado en 6.6 y 46.8 los extremos mínimo y máximo de la puntuación de la escala, el estudio realizado por Lodge se ha producido como la puntuación media es 13,6, mientras que la puntuación más alta registrada fue 44,4. Sin embargo, cabe señalar que un patrón caracterizado por una alta puntuación de complejidad puede resultar difícil de recordar.

>Otro aspecto interesante que surge del análisis de loge es la tendencia (10% de los casos) a componer el patrón de bloqueo de manera que los recuerdos y una letra del alfabeto que a menudo se corresponde con el nombre inicial del usuario o una persona a su lado (esposo, esposa , hijo, etc.). “Fue divertido ver ese patrón para recordarle a la gente que use la misma estrategia que se usa para recordar una contraseña. Ves el mismo tipo de comportamiento ”, dijo Loge.

A la luz de estos aspectos, los ciberdelincuentes pueden ser una forma sombría de reunir una gran cantidad de ALP y construir un modelo matemático para mejorar la capacidad de predecir y adivinar un bloqueo de patrón. Tratar de asegurarse de que un patrón de bloqueo sea el mismo enfoque que usaría normalmente con un pin o contraseña : desarrollar uno de complejidad adecuada, evitar secuencias obvias, hacer tantos nodos como sea posible y entrar en intersecciones, práctica que dificulta la identificación de un patrón de bloqueo para miradas indiscretas.

En este sentido es aconsejable desactivar también la visualización gráfica del patrón que dificulta los intentos de “surfear hombro” o espiar las acciones de la persona que está detrás de él.

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario