A abundância de vazamentos de senhas ao longo da última década, revelou alguns dos mais vulneráveis tipos de senha usados por usuários de todos os níveis, incluindo “password”, “p @ $$ w0rd”, e “1234567”. Até mesmo identificação de senhas baseado na identificação por rosto pode aparecer forte, mas pode ser quebrada em questão de segundos.
Os padrões de bloqueio do Android, uma alternativa de senha segura introduzido pelo Google em 2008 com o lançamento do seu Android OS, não tem se mostrado a opção intransponível como se imaginava. Embora pareça que estejamos protegidos com esse recurso nativo do Android, os padrões de senhas estudados, mostram que as possibilidades e variantes das senhas apresentadas são sempre as mesmas, tornando o trabalho de cracker fácil de prever, se ele seguir alguns padrões já preconizados Padrão de bloqueio do Android (Android Lock Pattern – ALP). Mesmo seguindo os preceitos do ALP as senhas criadas são facilmente previsíveis, se analisarmos os dados do usuário, tais como: idade, sexo e grau de instrução.
Marte Løge, uma mestranda da Universidade de Ciência e Tecnologia da Noruega, em seu estudo sobre previsibilidade para sua tese, estudou 4000 padrões de ALP e descobriu que 44% são iniciadas do topo esquerdo para o centro da tela. Descobriu também que 77% das senhas são circunscritas em somente um dos 4 quadrantes da tela. O número médio de nós envolvidos na criação do padrão de senha é de somente 5, possibilitando uma combinação de pouco mais 9000 padrões possíveis. Outro dado interessante é que a maioria dos padrões eram de somente 4 nós, possibilitando somente 1624 combinações que variavam da esquerda para direita, do topo para centro e outros fatores que permitiam uma fácil previsão dos padrões estudados.
| Tamanho dos nós | Número de combinações |
|---|---|
| 4 | 1.624 |
| 5 | 7.152 |
| 6 | 26.016 |
| 7 | 72.912 |
| 8 | 140.704 |
| 9 | 389.112 |
Um ALP pode conter entre 4 a 9 nós que permitiriam criar 389.112 mil combinações de senhas. Claro que se houvesse nós acima de 9 o número de combinações aumentaria exponencialmente.
Contudo, pelo estudo desenvolvido ficou provado que tanto homens como mulheres só se utilizam de padrões de até 4 nós. Diminuindo em muito as possibilidades de padrões. Nos poucos casos de escolha de padrões acima de 6 nós, os mais usados são 8 e 9, sendo o 8 o mais usado. Ainda que ambos tenham o mesmo resultado numérico.
Os homens costumam escolher padrões mais longos e complexos que as mulheres. Em particular os homens mais jovens que sempre escolhem os padrões mais altos.
Marte Løge também afirma em seu estudo que o número de nós não é a coisa mais importante para determinar o quão suscetível e previsível seria um padrão para um suposto ataque. Sequências específicas de nós complexas são a chave para padrões fortes. Utilizando-se de 9 nós seguindo a sequência numérica de um teclado padrão de qualquer telefone, a sequência 1,2,3, 6 será relativamente fraca, diante de um padrão mais complexo como: 2,1,3,6. Desde que o último padrão, adote uma direção diferente da anterior.
O estudo mostrou que tanto homens como mulheres evitam padrões muito complexos devido a dificuldade de lembrar deles depois. A maioria mantém sequências de até 4 nós. A maioria das mulheres não escolhem padrões muito complexos ou que sigam as sequência 2,3,1.
Sequências fracas
O estudo também demonstrou que a maioria das pessoas, escolhe padrões de senhas que remetem as letras iniciais dos próprios nomes, das esposas(o)s, dos nomes dos filhos, facilitando-se em muito a possibilidade de descoberta de um hacker. Das pessoas entrevistadas no estudo, 10% revelaram seguir esse método para criar seus padrões. Para fins de ataque essas sequências diminuem as tentativas de 1 para 10 chances num universo de 100 tentativas.
A partir de estudos sobre os ALP mais comuns e utilizando-se de Modelos de Markov, crackers podem engendrar técnicas de crackerismo cada vez mais eficientes.
Marte Løge,sugere que desativemos o padrão visível nas configurações de segurança do Android e escolhamos padrões com mais de 4 nós que mesclem mais de um canto da tela.
Esse estudo pode ser encontrado no paper: Dissecting pattern unlock: The effect of pattern strength meter on pattern selection.
Colaborador: Leandro França de Mello
[ads-post]
