Az amerikaiak közel 80% -a rendelkezik okostelefonnal, és egyre nagyobb arányban használnak okostelefonokat internet-hozzáféréshez, nem csak útközben. Ennek eredményeként az emberek jelentős mennyiségű személyes és magán adatot tárolnak mobil eszközükön.
Gyakran csak egy biztonsági réteg védi ezeket az adatokat - e-maileket és szöveges üzeneteket, szociális média profilokat, bankszámlákat és hitelkártyákat, akár az online szolgáltatásokhoz tartozó egyéb jelszavakat. Ez a jelszó nyitja meg az okostelefon képernyőjét. Általában ez egy szám beírásával vagy egy ujjheggyel egy érzékelőre helyezése.
Az elmúlt néhány évben kutatócsoportom, kollégáim és én jobban megterveztük, létrehoztuk és teszteltük. „Felhasználó által generált szabad formájú gesztusnak” nevezzük, ami azt jelenti, hogy az okostelefonok tulajdonosai felhívhatják a képernyőn a saját biztonsági mintájukat. Ez egy nagyon egyszerű ötlet, amely meglepően biztonságos.
A mai gyenge biztonság javítása
Úgy tűnik, hogy a biometrikus hitelesítés, mint például az ujjlenyomat, erősebb lehet. De nem, mert a legtöbb rendszer, amely lehetővé teszi a felhasználó számára az ujjlenyomat-hozzáférést, alternatív biztonsági mentési módszerként PIN-kódot vagy jelszót is igényel. A felhasználó - vagy tolvaj - kihagyhatja a biometrikus módszert, és ehelyett csak megadhat (vagy kitalálhat) PIN-kódot vagy jelszót.
A szöveges jelszavakat nehéz lehet pontosan beírni a mobil eszközökön: kis „Shift” gombokkal és más gombokkal kell megnyomni a számokat vagy írásjeleket. Ennek eredményeként az emberek inkább a PIN-kódokat használják, amelyek gyorsabbak, de sokkal könnyebben kitalálhatók, mert ezek olyan rövid szekvenciák, amelyeket az emberek megjósolható módon választanak: például születési dátumok használatával. Egyes eszközök lehetővé teszik a felhasználók számára, hogy a pontok összekötési mintáját a képernyőn lévő rácson válasszák - ezek azonban még kevésbé biztonságosak lehetnek, mint a háromjegyű PIN-kódok.
Más módszerekkel összehasonlítva megközelítésünk drámaian növeli a jelszó hosszúságát és összetettségét. A felhasználók egyszerűen rajzolnak mintát a teljes érintőképernyőn, tetszőleges számú helyet használva a képernyőn.
Mérési rajzok
Ahogy a felhasználók alakot vagy mintát rajzolnak a képernyőn, nyomon követjük az ujjainkat, rögzítve, hol mozognak és milyen gyorsan (vagy lassan). Összehasonlítottuk ezt a zeneszámot a rögzített gépeléssel, amikor beállítottuk a gesztus alapú bejelentkezést. Ezt a védelmet csak szoftverváltoztatásokkal lehet hozzáadni; nincs szüksége külön hardverre vagy más módosításra a meglévő érintőképernyős eszközökön. Mivel az érintőképernyők egyre gyakoribbá válnak a laptop számítógépeken, ezt a módszert fel lehet használni a védelmükhöz.
Rendszerünk azt is lehetővé teszi, hogy az emberek egynél több ujjat is használhassanak - bár egyes résztvevők tévesen feltételezték, hogy több ujjal egyszerű mozdulatok készítése sokkal biztonságosabb, mint ugyanazon gesztus egyetlen ujjal. A biztonság javításának kulcsa egy vagy több ujj használatával az, hogy olyan mintát készítsen, amelyet nem könnyű kitalálni.
Könnyű csinálni és megjegyezni, nehéz megtörni
Néhány ember, aki részt vett a tanulmányainkban, gesztusokat készített, amelyeket szimbólumokként lehet megfogalmazni, például számjegyek, geometriai alakzatok (mint például henger) és zenei jelölések. Ez bonyolult emblémákat - beleértve azokat is, amelyek emelő ujjakat igényelnek (multistroke) - könnyedén megőrizték számukra.
Ez a megfigyelés inspirált minket arra, hogy tanulmányozzuk és új módszereket hozzunk létre a gesztus jelszavak kitalálására. Összeállítottuk a lehetséges szimbólumok listáját és kipróbáltuk őket. De még egy viszonylag egyszerű szimbólum, mint egy nyolcadik jegyzet, annyira különböző módon rajzolható, hogy a lehetséges variációk kiszámítása számítási szempontból intenzív és időigényes. Ez ellentétben a szöveges jelszavakkal, amelyek variációit egyszerűen kipróbálni lehet.
Több jelszó cseréje
Kutatásunk túlmutatott azon, hogy csupán egy gesztusokat használtak az okostelefon feloldásához. Megvizsgáltuk annak lehetőségét, hogy az emberek doodle-eket jelszavak helyett több webhelyen használják. Úgy tűnt, hogy nem sokkal nehezebb megjegyezni a több mozdulatot, mint az, hogy az egyes webhelyekre különféle jelszavak emlékeztetnek.
Valójában gyorsabb volt: a gesztusokkal történő bejelentkezés két-hat másodperc alatt kevesebb időt vett igénybe, mint a szöveges jelszó használatával. Gyorsabb a gesztus generálása, mint a jelszó: Az emberek 42 százalékkal kevesebb időt költöttek gesztus hitelesítő adatok generálására, mint azok az emberek, akiket megvizsgáltunk, akiknek új jelszavakat kellett elkészíteniük. Megállapítottuk azt is, hogy az emberek sikeresen beírhatják a gesztusokat anélkül, hogy annyi figyelmet fordítanának rájuk, mint szöveges jelszavakkal.
A gesztusalapú interakciók népszerűek és elterjedtek a mobil platformon, és egyre inkább elindulnak az érintőképernyővel felszerelt laptopok és asztali számítógépek felé. Az ilyen típusú eszközök tulajdonosai részesülhetnek a gyors, egyszerű és biztonságosabb hitelesítési módszer előnyeiből, mint például a miénk.
Ezt a cikket eredetileg a The Conversation kiadta.
Janne Lindqvist, a Rutgers Egyetem elektromos és számítógépes mérnöki adjunktusa