Según los investigadores del Instituto de Tecnología de Nueva Jersey, la Universidad George Washington y la Universidad Ruhr de Bochum, los propietarios de teléfonos inteligentes que desbloquean sus dispositivos con códigos de acceso no son tan seguros como creen.
Los códigos de activación funcionan al permitir que las personas seleccionen patrones para tocar la pantalla bloqueada de un teléfono. LG popularizó el método en 2014, y ahora hay aproximadamente 700,000 personas que usan este método solo en los EE. UU., Junto con un millón de descargas en todo el mundo de aplicaciones de clonación paraLos dispositivos Android de Google en general, dijeron los investigadores.
Raina Samuel, estudiante de doctorado en ciencias de la computación en el Ying Wu College of Computing de NJIT, dijo que tuvo la idea de esta investigación mientras asistía a una conferencia de seguridad en 2017.
"Durante esa conferencia escuché a nuestro coautor Adam Aviv hacer una presentación. Estaba hablando de contraseñas, PIN, navegación en el hombro y cómo estos métodos móviles de autenticación pueden ser manipulados e inseguros a veces", dijo., Tenía un teléfono LG y estaba usando los códigos de llamada. Fue un interés personal para mí "
Los códigos de toques generalmente presentan a los usuarios una cuadrícula de 2 por 2, que debe tocarse en la secuencia correcta para desbloquear su teléfono. La secuencia es entre seis y diez toques. Los investigadores analizaron con qué facilidad un atacante podría adivinar un patrón de golpeteo.
En un estudio en línea, 351 participantes eligieron códigos. Los investigadores encontraron que el 65% de los usuarios comenzaron sus códigos en la esquina superior izquierda, a menudo procediendo a la esquina superior derecha a continuación, lo que podría atribuirse a los hábitos de lectura occidentales. También encontraronque el aumento del tamaño de la cuadrícula no ayudó, en cambio, hizo que los usuarios fueran más propensos a elegir códigos más cortos.
"Los códigos Knock realmente me intrigaron, ya que pasé mucho tiempo trabajando en otras opciones de autenticación móvil, como PIN o patrones de Android, y nunca había oído hablar de estos", dijo Aviv, profesor asociado de informática en GW."Resulta que, aunque es menos popular que los PIN o patrones, todavía hay un número sorprendente de personas que usan códigos de acceso, por lo que es importante comprender las propiedades de seguridad y usabilidad de ellos".
Los investigadores también probaron una lista de bloqueo de códigos comunes, para que los participantes de la encuesta eligieran algo más difícil de adivinar. La lista contenía los 30 códigos más populares. Los tres primeros fueron :
Los investigadores dijeron que debería haber una característica que bloquee los códigos que son demasiado fáciles de adivinar y aconseja a los usuarios que elijan códigos más fuertes, similar a cómo responden algunos sitios web cuando los usuarios crean cuentas protegidas con contraseña.
El estudio mostró que los códigos de toques son difíciles de memorizar. Aproximadamente uno de cada diez participantes olvidó su código al final del estudio, a pesar de que duró solo cinco minutos. Además, ingresar dicho código para desbloquear la pantalla tomó 5 segundosen promedio, en comparación con el ingreso de un PIN que generalmente demora 4,5 segundos y un patrón de desbloqueo de Android que solo necesita 3 segundos.
El equipo de investigación también incluyó a Philipp Markert de la Universidad de Ruhr. Aviv le pidió a Markert que se uniera a su proyecto cuando los revisores dijeron que el estudio de los patrones de códigos de llamada debería hacerse en los teléfonos, no en simulaciones por computadora. Markert adaptó la programación del estudio para este cambio
"Siempre estoy interesado en nuevos esquemas de autenticación, y trabajé con Adam en un proyecto similar sobre PIN, así que cuando me pidió que me uniera al equipo, no lo pensé dos veces", dijo Markert.
El documento se presentará en el 16º Simposio sobre Privacidad y Seguridad Usable, celebrado simultáneamente con el prestigioso Simposio de Seguridad USENIX del 9 al 11 de agosto. Los fondos fueron provistos por el Laboratorio de Investigación del Ejército, la Fundación Nacional de Ciencias y los expertos alemanes de Renania del Norte-Westfalia enInvestigación en digitalización.
Fuente de la historia :
Materiales proporcionado por Universidad George Washington . Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :