Viele Android-Sperrmuster sind genauso unsicher wie fantasielose Passwörter

In Zeiten der großen Passwort-Hacks kam Android 2008 mit der Idee um die Ecke, Smartphones künftig per Sperrmuster zu sichern. Wenn man bedenkt, dass bei neun Knoten auf dem Display knapp 400.000 mögliche Kombinationen zur Verfügung stehen, eigentlich ein plausibler Ansatz.

Doch Android hatte die Rechnung ohne seine Nutzer gemacht: Wie Marte Løge, Absolventin der Norwegian University of Science and Technology, bei Recherchen für ihre Abschlussarbeit herausfand, ist der gemeine Smartphonebesitzer beim Anlegen seiner Sperrmuster selten kreativer als die Betreiber von Ashley Madison, die ihr Netzwerk mit dem Passwort „Pass1234" gesichert hatten.

Løge hatte insgesamt 4.000 Sperrmuster analysiert und war zu folgenden Ergebnissen gekommen: 77 Prozent der User beginnen ihre Muster in einer Ecke, 44 Prozent starten oben links. Eine Kombination von nur vier Knotenpunkten war dabei am beliebtesten—sicherlich bequemer als ganze neun Mal mit dem Finger innezuhalten, doch verringert sich die Anzahl möglicher Kombination und damit die Sicherheit des Musters drastisch. Aus den 400.000 potentiellen Mustern bei neun Knotenpunkten bleibt bei vier Knotenpunkten noch eine mickrige Anzahl von 1.624 Kombinationen übrig.

Wenn man jetzt noch weiß, dass die meisten Menschen ihren Finger sowohl von links nach rechts als auch oben nach unten führen, ohne die Richtung zu wechseln, ist das Knacken des Musters nicht mehr all zu schwer. „Menschen sind berechenbar", erklärte Løge Anfang des Monats auf der PasswordsCon in Las Vegas. „Wir beobachten dasselbe Verhalten beim Anlegen von Sperrmustern wie beim Anlegen von alphanumerischen Passwörter."

Insgesamt 3.400 Personen hatte Løge gebeten, jeweils ein Sperrmuster für eine Banking-App, eine Shopping-App und das Smartphone selbst zu wählen. Anhand der Anzahl der Knotenpunkte sowie möglicher Richtungswechsel hatte sie für die Komplexität der Muster eine Bewertungsskala von 6.6 bis 46.8 eingerichtet. Während ein Nutzer mit einem besonders komplexen Sperrmuster 44.4 Punkte auf der Skala erreichte, landete der Durchschnitt bei bescheidenen 13.6.

„Komplexe Muster kann sich einfach niemand merken", so Løge, die außerdem erklärte, dass sich unter den Teilnehmen der Studie, die noch bereit waren, relativ komplexe Sperrmuster zu kreieren, fast ausschließlich junge männliche Teilnehmer fanden. Rund 10 Prozent der Personen zeichneten mit den Sperrmustern einen alphabetischen Buchstaben nach, nicht selten den Anfangsbuchstaben des Namens einer nahestehenden Person. Diesen herauszufinden dürfte für den potentiellen Smartphonehacker noch das kleinste Problem sein.