Los usuarios de dispositivos Android pueden desbloquear la pantalla ingresando un patrón. Esta función es conveniente y, por lo tanto, popular; sin embargo, es menos segura que bloquear con un PIN. Por eso, un equipo de investigación internacional recomienda implementar una lista de bloqueo en los dispositivos Android que prohíba los 100 patrones más populares, que son los más fáciles de adivinar. Philipp Markert, del Instituto Horst Görtz para la seguridad de TI en la Ruhr-Universität Bochum, investigó exactamente cómo se debe crear esto, junto con colegas de la Universidad George Washington y la Marina de los Estados Unidos.

El equipo dirigido por el profesor Adam Aviv de la Universidad George Washington presentará los resultados en el Simposio USENIX sobre privacidad y seguridad utilizable, que se lleva a cabo del 8 al 10 de agosto como una conferencia virtual. Los datos están disponibles por adelantado como una preimpresión de libre acceso.

Cómo son los patrones de Android más populares

“Mientras que el PIN de cuatro dígitos permite a los usuarios 10.000 combinaciones diferentes, teóricamente puede haber 389.112 versiones de los patrones de Android que se dibujan en una cuadrícula de tres por tres”, explica Collins Munyendo, primer autor de la publicación de la Universidad George Washington. . "Sin embargo, los usuarios no están aprovechando al máximo estas opciones". En partes del mundo donde la gente lee de arriba a la izquierda hacia abajo a la derecha, los patrones en forma de letras, como Z, L o W, son particularmente populares. Alrededor del 49 por ciento de todos los patrones comienzan en la parte superior izquierda; El 32,5 % termina en la parte inferior derecha, lo que facilita que los atacantes adivinen un patrón.

Varias listas de bloqueo puestas a prueba

En el estudio en línea actual, el equipo de investigación probó cómo las listas de bloqueo de diferentes longitudes afectan la seguridad y la usabilidad. Hicieron que 1.006 personas seleccionaran un nuevo patrón de desbloqueo. Algunos de los participantes pudieron seleccionar entre todas las posibilidades teóricamente concebibles (grupo de control); se excluyeron ciertos patrones para los otros cinco grupos, por lo que se utilizaron cinco listas de bloqueo de diferentes longitudes. Si un usuario seleccionaba un patrón bloqueado, se le mostraba una advertencia y tenía que ingresar un nuevo patrón.

Los investigadores habían identificado en un estudio anterior cuáles eran los patrones de Android más populares. La más corta de las cinco listas de bloqueo probadas contenía los doce patrones más populares del estudio anterior, la lista de bloqueo más larga contenía los 581 patrones más populares.

Lista de bloqueo con 100 patrones recomendados

"La lista mediana con 100 patrones bloqueados es el mejor compromiso entre seguridad y usabilidad", resume Miles Grant de la Universidad George Washington. Con esta lista de bloqueo, los usuarios tardaron un promedio de 19 segundos en seleccionar un patrón que no esté en la lista de bloqueo. Como comparación:se seleccionó un patrón en 13 segundos en el grupo de control. Una vez que se había elegido un patrón, los usuarios podían recordarlo bien:el 99,54 por ciento recordaba correctamente el patrón que habían establecido, mientras que la cifra era del 100 por ciento en el grupo de control.

La seguridad aumenta, incluso con la lista de bloqueo más corta

Los investigadores también comprobaron en qué medida las listas de bloqueo afectaban a la seguridad de los patrones. Simularon la facilidad con la que un atacante podría adivinar el patrón de un teléfono móvil robado. Sin una lista de bloqueo, la probabilidad de éxito era del 23,7 por ciento después de 30 intentos de adivinanza. Con la lista negra más larga, fue del 2,3 por ciento. La lista recomendada con 100 patrones bloqueados redujo las posibilidades de éxito a alrededor del 7,5 por ciento.

"Por lo tanto, una lista de bloqueo con 100 entradas ya aumentaría significativamente la seguridad, pero requeriría poco esfuerzo adicional por parte de los usuarios durante la configuración", resume Philipp Markert. "El diseño con cuadrículas de tres por tres, que los usuarios conocen y les gusta, permanecería sin cambios". En contraste con esto, otras ideas para mejorar la seguridad de los patrones de Android incluían una cuadrícula de cuatro por cuatro o una disposición aleatoria de los puntos de la cuadrícula en la pantalla.