Technik

Handy: Wie sicher sind „Knock-Codes“?

Tippmuster für Smartphone-Displaysperre sind leichter zu knacken als PINs

15. Juli 2020, Lesezeit: 3 Min.
Knock-Code
Knock-Codes lösen die Displaysperre durch eine Tipp-Abfolge in vier Felder – aber wie sicher ist das? © RUB/ Marquard

Tippfolge statt PIN: Die sogenannten „Knock-Codes“ für die Displaysperre des Handys sind leicht zu knacken, aber schwer zu merken – das ist Fazit einer Studie von IT-Forschern. Weil Nutzer beim Antippen der Felder bestimmte Abfolgen bevorzugen, sind diese auch entsprechend einfach zu erraten. Weniger eingängige Tippfolgen werden hingegen zu leicht vergessen. Nach Ansicht der Wissenschaftler sind die Knock-Codes daher weniger sicher als PINs oder Streichmuster.

Die meisten Menschen schützen den Inhalt ihrer Smartphones mit einer Displaysperre. Diese kann entweder mit einer Zahlenfolge – dem PIN-Code – oder bei Android-Handys auch mit einem Wischmuster geöffnet werden. Eine Gesichtserkennung oder der Fingerabdruck sind vor allem bei iPhones ebenfalls möglich. Während jedoch letztere sich quasi von selbst ergeben, kann man PIN oder Wischmuster selbst wählen – mit entsprechenden Tücken bei zu einfachen Sperrcodes.

Tippen statt Zahlencode

Eine weitere Variante ist der sogenannte Knock-Code, den der Hersteller LG bei seinen Smartphones
für die Displaysperre eingeführt hat. Er besteht aus zwei mal zwei Feldern, die in einer bestimmten Reihenfolge angetippt werden müssen. Die Tippfolge muss zwischen sechs und zehn Antipper lang sein. Diese Knock-Codes werden Schätzungen zufolge in den USA aktuell von 700.000 bis 2,5 Millionen Menschen verwendet.

Doch wie sicher ist diese Lösung für die Displaysperre? Das hat jetzt ein deutsch-amerikanisches Forscherteam um Raina Samuel vom New Jersey Institute of Technology untersucht. Dafür baten sie in einer Online-Studie zunächst 351 Teilnehmer, sich einen Knock-Code auszudenken. Dann sollten sie einige Fragen beantworten und den Code nach fünf Minuten erneut eingeben.

In den Schlagzeilen

Illustration von Masernviren

Masern-Ausbrüche

Diaschauen zum Thema

Internetsicherheit

Dossiers zum Thema

Mustererkennung - „Mustergültige Erkenntnis“ in Astrophysik, Musik und Medizin

Eingängige Muster machen das Erraten leicht

Es zeigte sich: Die meisten Versuchspersonen bevorzugten bestimmte, eingängige Tippmuster. „65 Prozent der Nutzerinnen und Nutzer begannen den Code oben links, von diesen wiederum wählte ein Großteil als nächstes das Feld oben rechts“, erklärt Koautor Philipp Markert von der Ruhr-Universität Bochum. „Das hat sicher mit den Lesegewohnheiten in der westlichen Welt zu tun.“

Die drei beliebtesten Knock Codes waren:
– oben links, oben rechts, unten links, unten rechts, oben links, oben rechts
– oben links, oben rechts, unten rechts, unten links, oben links, oben rechts
– oben links, oben links, oben rechts, oben rechts, unten links, unten links

Das Problem: Ähnlich wie bei zu einfachen, eingängigen Passwörtern sind solche naheliegenden Tippfolgen durch Hacker oder spezielle Algorithmen leicht zu erraten. „Unsere Analyse widerlegt das Werbeversprechen von LG, in dem in Bezug auf die Knock-Codes von perfect security die Rede ist“, sagt Markert. Tatsächlich knackte ein von ihm und seinen Kollegen entwickelter Algorithmus die Knock-Codes der Studienteilnehmer weit schneller als PINs oder Android-Entsperrmuster.

Mehr Felder bringen nichts, wohl aber eine Sperrliste

Das Team testete dann, ob die Sicherheit der vergebenen Codes verbessert wird, wenn man zwei mal drei Felder statt zwei mal zwei Felder für den Knock-Code zur Verfügung stellt. Die Anzahl der möglichen Knock-Codes steigt dadurch von rund 1,3 Millionen auf etwa 72 Millionen mögliche Sequenzen. „Das hat aber nichts gebracht“, berichtet Markert. „Paradoxerweise haben die Nutzerinnen und Nutzer sogar im Durchschnitt kürzere Knock-Codes vergeben, wenn sie mehr Felder zur Verfügung hatten.“

Mehr Sicherheit konnte das Team hingegen durch eine Sperrliste erzeugen. Diese enthielt die in einer Vorstudie ermittelten 30 beliebtesten Knock-Codes. Vergab ein Nutzer einen dieser Codes auf der Sperrliste, wurde er aufgefordert, einen anderen Code zu wählen. Dadurch erzeugten die Teilnehmer tatsächlich Tippmuster, die schwerer zu erraten waren.

Leichter zu vergessen als eine PIN

Das Problem jedoch: Bei weniger eingängigen Tippmustern neigen auch die Handybesitzer dazu, den Code zu vergessen. In der Studie hatte etwa jeder zehnte Teilnehmer den gewählten Code schon nach fünf Minuten Ablenkung durch Befragungen wieder vergessen. In einer verwandten Studie über PINs lag die Vergessens-Quote dagegen nur bei unter einem Prozent. „Das passt zu den Aussagen von Nutzern, die sagten, dass die Knock-Codes zwar leicht zu vergeben seien, aber auch schwer zu merken sind“, berichtet Markert.

Hinzu kommt, dass die Eingabe eines solchen Codes zum Entsperren des Displays durchschnittlich sieben Sekunden dauerte, während eine PIN-Eingabe standardmäßig viereinhalb Sekunden braucht, ein Android-Entsperrmuster drei Sekunden. Alles in allem kommen die Wissenschaftler zu dem Schluss, dass der Knock-Code unsicherer und weniger empfehlenswert ist als gängige PIN-Codes. (Symposium on Usable Privacy and Security (SOUPS), 2020)

Quelle: Ruhr-Universität Bochum, George Washington University

15. Juli 2020 - Nadja Podbregar
Tags:
Keine Meldungen mehr verpassen – mit unserem wöchentlichen Newsletter.
Teilen:

Bücher zum Thema

Cyberwar - Das Wettrüsten hat längst begonnen - von Sandro Gaycken

Top-Clicks der Woche