Empecemos con algo que ya sabíamos: la gente es realmente mala creando y recordando contraseñas y pines.
También somos malos escogiendo y respondiendo las preguntas de seguridad utilizadas para recuperar las contraseñas. La mayoría no somos capaces de usar un patrón de bloqueo que no sea extremadamente fácil de adivinar, ya sea ojeando por encima del hombro o por las trazas que dejamos con nuestros dedos.
Ahora, un nuevo informe (PDF) de investigadores de ciberseguridad de la Academia Naval de EEUU y la universidad de Maryland Baltimore County han cuantificado lo sencillo que es echar un vistazo por encima del hombro para descubrir el patrón de bloqueo de Android.
Como explicamos hace unos años, los patrones de bloqueo permiten bloquear/desbloquear tu dispositivo deslizando tu dedo por la pantalla como si dibujaras un patrón que toca al menos entre cuatro y nueve nodos. Del mismo modo que el número de caracteres hace más segura una contraseña, cuantos más nodos toques, más seguro será el patrón.
Desafortunadamente, a pesar de que hay 389.112 posibles patrones empleando entre 4 y 9 nodos, cuando la investigadora Marte Løge analizó los patrones de 3.400 de usuarios, descubrió que los más usados eran solo cuatro.
Por si esto fuera poco, la mayoría de la gente realiza patrones predecibles: van de izquierda a derecha, de arriba a abajo, normalmente comienzan en una esquina, habitualmente los patrones tienen forma de una letra y raramente vuelven para atrás sobre un trazo ya definido.
Todo esto ya lo sabíamos.
Lo que este nuevo estudio ha hecho es comprobar lo fácil que es espiar un patrón en comparación con un pin. Es decir, comprobaron que para alguien que eche un vistazo por encima de tu hombro es mucho más sencillo detectar un patrón que un pin.
El estudio incluía mostrar vídeos a los participantes de personas introduciendo patrones y pines en sus teléfonos móviles, para después preguntarles si eran capaces de reproducirlos.
Los resultados no sorprendieron a nadie: un pin de 6 caracteres era muy complicado de retener en un solo visionado rápido. Solo un 10% de los “atacantes” eran capaces de memorizarlo. El resultado subía a uno de cuatro cuando se visionaba varias veces.
Por otro lado, el ratio de éxito de los patrones con seis nodos era de un 64% con un vistazo rápido, y del 80% para varios visionados.
Adam Aviv, profesor de la Academia Naval, declaró a Wired que, para los humanos, es más fácil detectar patrones que pines porque nuestro cerebro está configurado de esa manera.
Los investigadores tuvieron en consideración distintos aspectos para el visionado como tamaño de la pantalla, ángulos de visionado, uso de uno o dos dedos o distintas longitudes de pines y patrones.
El estudio confirmaba que si se hace invisible el patrón (no se muestran las líneas que se trazan con el dedo) el ataque solo tenía un 35% de efectividad para un único visionado y de un 52% para varios. Sigue siendo unos resultados muy altos pero por lo menos mejoran algo la seguridad.
No podemos olvidar que los patrones son mejores que no tener ninguna protección.
Aviv, junto a sus compañeros investigadores, presentarán el informe en la Conferencia Anual de Aplicaciones Informáticas de Seguridad en Puerto Rico en diciembre.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario