Lähes 80 prosenttia amerikkalaisista omistaa älypuhelimen, ja yhä suurempi osa heistä käyttää älypuhelimia Internet-yhteyteen, ei vain liikkeellä ollessasi. Tämä johtaa siihen, että ihmiset tallentavat huomattavia määriä henkilökohtaisia ja yksityisiä tietoja mobiililaitteisiin.
Usein on vain yksi tietoturvakerros, joka suojaa kaikkia näitä tietoja - sähköposteja ja tekstiviestejä, sosiaalisen median profiileja, pankkitilejä ja luottokortteja, jopa muita online-palveluiden salasanoja. Se on salasana, joka avaa älypuhelimen näytön. Yleensä tämä tarkoittaa numeron syöttämistä tai vain sormenpäiden asettamista anturille.
Parin viime vuoden aikana tutkimusryhmäni, kollegani ja minä olemme suunnitelleet, luoneet ja kokeilleet parempaa tapaa. Kutsumme sitä ”käyttäjän luomiin vapaamuotoisiin eleisiin”, mikä tarkoittaa, että älypuhelinten omistajat voivat piirtää näytölle oman suojausmallin. Se on hyvin yksinkertainen idea, joka on yllättävän turvallinen.
Parannetaan nykypäivän heikkoa turvallisuutta
Voi tuntua, että biometrinen todennus, kuten sormenjälki, voisi olla vahvempi. Mutta ei, koska useimmat järjestelmät, jotka antavat käyttäjän sallia sormenjälkien käytön, vaativat myös PIN-koodin tai salasanan vaihtoehtoisena varmuuskopiointimenetelmänä. Käyttäjä - tai varas - voisi ohittaa biometrisen menetelmän ja kirjoittaa sen sijaan (tai arvata) PIN- tai salasanan.
Tekstisalasanoja voi olla vaikea kirjoittaa tarkasti mobiililaitteissa. Pieniä “shift” -näppäimiä ja muita painikkeita voidaan painaa näppäilläksesi numeroita tai välimerkkejä. Seurauksena on, että ihmiset käyttävät sen sijaan PIN-koodeja, jotka ovat nopeampia, mutta paljon helpommin arvata, koska ne ovat lyhyitä sekvenssejä, jotka ihmiset valitsevat ennakoitavissa olevilla tavoilla: esimerkiksi käyttämällä syntymäaikaa. Joidenkin laitteiden avulla käyttäjät voivat valita pisteiden yhdistämiskuvion ruudukon ruudukosta - mutta ne voivat olla jopa vähemmän turvallisia kuin kolminumeroiset PIN-koodit.
Verrattuna muihin menetelmiin lähestymistapamme lisää dramaattisesti salasanan mahdollista pituutta ja monimutkaisuutta. Käyttäjät piirtävät vain kuvion koko kosketusnäytöltä käyttämällä mitä tahansa lukumäärää näyttöruutua.
Mittapiirrokset
Kun käyttäjät piirtävät muodon tai kuvion näytölle, seuraamme sormea, tallennamme missä he liikkuvat ja kuinka nopeasti (tai hitaasti). Vertaamme sitä kappaletta, joka on tallennettu, kun he perustavat eleihin perustuvan kirjautumisen. Suojaus voidaan lisätä vain ohjelmistomuutoksilla; se ei tarvitse erityisiä laitteita tai muita muutoksia olemassa oleviin kosketusnäyttölaitteisiin. Kun kosketusnäytöt yleistyvät kannettavissa tietokoneissa, tätä menetelmää voitaisiin käyttää myös suojaamaan niitä.
Järjestelmämme antaa myös ihmisille käyttää useampaa kuin yhtä sormea - vaikka jotkut osallistujat olettivatkin virheellisesti, että yksinkertaisten eleiden tekeminen useilla sormeilla olisi turvallisempaa kuin sama ele vain yhdellä sormella. Avain tietoturvan parantamiseen yhdellä tai useammalla sormella on tehdä malli, jota ei ole helppo arvata.
Helppo tehdä ja muistaa, vaikea murtaa
Jotkut tutkimuksiin osallistuneet ihmiset tekivät eleitä, jotka voitiin artikuloida symboleiksi, kuten numeroita, geometrisia muotoja (kuten sylinteri) ja nuotteja. Se teki niistä monimutkaiset logot - myös nostamissormeja vaativat (monitoimiset) - helposti muistettavissa.
Tämä havainto innosti meitä tutkimaan ja luomaan uusia tapoja yrittää arvata eleiden salasanoja. Laadimme luettelon mahdollisista symboleista ja kokeilimme niitä. Mutta jopa suhteellisen yksinkertainen symboli, kuten kahdeksas huomautus, voidaan piirtää niin monella eri tavalla, että mahdollisten variaatioiden laskeminen on laskennallisesti intensiivistä ja aikaa vievää. Tämä on toisin kuin tekstisalasanat, joiden muunnelmia on helppo kokeilla.
Useampien salasanojen korvaaminen
Tutkimuksemme on laajentunut pelkästään eleen käyttämiseen älypuhelimen lukituksen avaamiseen. Olemme tutkineet useiden verkkosivustojen mahdollisuutta käyttää doodleja salasanojen sijasta. Useiden eleiden muistaminen ei vaikuttanut olevan vaikeampaa kuin kunkin sivuston eri salasanojen muistaminen.
Itse asiassa se oli nopeampaa: Sisäänkirjautuminen elellä kesti 2–6 sekuntia vähemmän aikaa kuin tekeminen tekstin salasanalla. Myös eleen luominen on nopeampaa kuin salasana: Ihmiset käyttivät eleiden käyttöoikeuksien luomiseen 42 prosenttia vähemmän aikaa kuin tutkimme ihmiset, joiden piti luoda uusia salasanoja. Huomasimme myös, että ihmiset voivat menestyä eleiden avulla kiinnittämättä niihin niin paljon huomiota kuin tekstiviestien kanssa.
Eleen perustuvat vuorovaikutukset ovat suosittuja ja yleisiä mobiiliympäristöissä, ja ne ovat yhä enemmän matkalla kosketusnäytöllä varustettuihin kannettaviin tietokoneisiin ja työpöytäkoneisiin. Tämän tyyppisten laitteiden omistajat voisivat hyötyä nopeasta, helposta ja turvallisemmasta autentikointimenetelmästämme, kuten meidän.
Tämä artikkeli on alun perin julkaistu keskustelussa.
Janne Lindqvist, sähkö- ja tietotekniikan apulaisprofessori, Rutgers University
