Od wielu lat producenci smartfonów oferują różne formy odblokowania ekranu telefonu. Początkowo był to jedynie czterocyfrowy kod, z czasem można było do tego dodać więcej znaków, w tym litery. Obecnie coraz więcej urządzeń posiada zabezpieczenia biometryczne, które odblokowują telefon lub tablet szybko i wygodnie. Jednak między tymi formami uwierzytelniania jest jeszcze jedna, którą wciąż stosuje wiele osób. Jest ona dość wygodna i w niektórych przypadkach szybsza od wpisywania kodu. Mowa o rysowaniu wcześniej ustalonego przez właściciela urządzenia wzoru.
Badacze z United States Naval Academy oraz University of Maryland przetestowali[1] skuteczność zabezpieczenia opartego o rysowanie na ekranie. Atak został nazwany „shoulder surfing attacks”, co w wolnym tłumaczeniu oznacza „atak znad barku”. Cały eksperyment opiera się na założeniu, że ktoś spogląda na nasze dłonie i urządzenie, w momencie, kiedy chcemy je odblokować. Nietrudno wyobrazić sobie taki scenariusz. Bardzo często odblokowujemy urządzenia mobilne w komunikacji miejskiej, kolejkach, na spacerze, w szkole, na uczelni i w wielu innych miejscach, gdzie ktoś może obserwować co wpisujemy.
Raport jest dość długi i szczegółowy, więc dla osób chcących dokładnie przeanalizować problem, polecamy zapoznanie się z nim[2]. Pomijając jednak techniczne szczegóły, rysowanie wzoru jest dużo mniej bezpieczne od tradycyjnego wpisywania kodu. Osoba, która tylko raz zaobserwowała moment odblokowywania urządzenia, ma 64,2% szans na powtórzenie układu już przy pierwszej próbie. Przy wielokrotnych obserwacja szansa ta wzrasta do 79,9%. Dla porównania użycie sześciocyfrowego kodu znacznie zmniejsza szanse na atak. Przy tej metodzie, pojedyncza obserwacja daje 10,8% szans na odblokowanie urządzenia za pierwszym razem, natomiast wielokrotna obserwacja podwyższa ten współczynnik do 26,5%.
Podczas testów obserwatorzy byli w stanie zaobserwować właściwy wzór z odległości około 2 metrów i to w różnych ustawieniach i pod różnymi kątami. Jednym z wniosków, choć trzeba przyznać – mało zaskakujących, jest fakt, że im większy ekran telefonu, tym zapamiętanie wzoru przez podglądacza jest łatwiejsze. Jeżeli stosujecie tę metodę uwierzytelniania, to być może warto rozważyć coś bezpieczniejszego.
[1] https://www.welivesecurity.com/2017/09/28/android-lock-screen-pattern-isnt-safe-pin-code/
[2] https://www.usna.edu/Users/cs/aviv/papers/avivACSAC2017.pdf