Quasi l'80% degli americani possiede uno smartphone e una parte crescente di loro usa gli smartphone per l'accesso a Internet, non solo quando sono in viaggio. Ciò porta le persone a memorizzare notevoli quantità di dati personali e privati sui propri dispositivi mobili.
Spesso, esiste solo un livello di sicurezza che protegge tutti quei dati: e-mail e messaggi di testo, profili di social media, conti bancari e carte di credito, persino altre password per i servizi online. È la password che sblocca lo schermo dello smartphone. Di solito questo comporta l'immissione di un numero o semplicemente la posa di un dito su un sensore.
Negli ultimi due anni, il mio gruppo di ricerca, i miei colleghi e io abbiamo progettato, creato e testato un modo migliore. Lo chiamiamo "gesti in forma libera generati dall'utente", il che significa che i proprietari di smartphone possono disegnare il proprio modello di sicurezza sullo schermo. È un'idea molto semplice sorprendentemente sicura.
Miglioramento della sicurezza debole di oggi
Potrebbe sembrare che l'autenticazione biometrica, come un'impronta digitale, potrebbe essere più forte. Ma non lo è, poiché la maggior parte dei sistemi che consentono a un utente di accedere alle impronte digitali richiedono anche un PIN o una password come metodo di backup alternativo. Un utente - o un ladro - potrebbe saltare il metodo biometrico e invece inserire (o indovinare) un PIN o una password.
Le password di testo possono essere difficili da inserire con precisione sui dispositivi mobili, con piccoli tasti "maiusc" e altri pulsanti da premere per inserire numeri o segni di punteggiatura. Di conseguenza, le persone tendono a usare invece i codici PIN, che sono più veloci ma molto più facili da indovinare, perché sono brevi sequenze che gli umani scelgono in modi prevedibili: ad esempio, utilizzando le date di nascita. Alcuni dispositivi consentono agli utenti di scegliere un modello a punti collegati su una griglia sullo schermo, ma possono essere persino meno sicuri dei PIN a tre cifre.
Rispetto ad altri metodi, il nostro approccio aumenta notevolmente la potenziale lunghezza e complessità di una password. Gli utenti devono semplicemente disegnare un motivo su un intero touchscreen, utilizzando un numero qualsiasi di posizioni sullo schermo.
Disegni di misurazione
Mentre gli utenti disegnano una forma o un motivo sullo schermo, seguiamo le loro dita, registrando dove si muovono e quanto velocemente (o lentamente). Confrontiamo quella traccia con quella registrata quando configurano il login basato sui gesti. Questa protezione può essere aggiunta solo tramite modifiche al software; non necessita di hardware specifico o altre modifiche ai dispositivi touchscreen esistenti. Man mano che i touchscreen diventano più comuni sui computer portatili, questo metodo potrebbe essere utilizzato anche per proteggerli.
Il nostro sistema consente inoltre alle persone di utilizzare più di un dito, anche se alcuni partecipanti hanno erroneamente supposto che fare semplici gesti con più dita sarebbe più sicuro dello stesso gesto con un solo dito. La chiave per migliorare la sicurezza utilizzando una o più dita è realizzare un design che non sia facile da indovinare.
Facile da fare e ricordare, difficile da rompere
Alcune persone che hanno partecipato ai nostri studi hanno creato gesti che potrebbero essere articolati come simboli, come cifre, forme geometriche (come un cilindro) e notazioni musicali. Ciò ha reso i loro complicati scarabocchi, inclusi quelli che richiedono il sollevamento delle dita (multistroke), facili da ricordare.
Questa osservazione ci ha ispirato a studiare e creare nuovi modi per provare a indovinare le password dei gesti. Abbiamo creato un elenco di possibili simboli e li abbiamo provati. Ma anche un simbolo relativamente semplice, come un'ottava nota, può essere disegnato in così tanti modi diversi che il calcolo delle possibili variazioni è intensivo dal punto di vista computazionale e richiede tempo. Questo è diverso dalle password di testo, per le quali le varianti sono semplici da provare.
Sostituzione di più di una password
La nostra ricerca si è estesa oltre il semplice utilizzo di un gesto per sbloccare uno smartphone. Abbiamo esplorato il potenziale per le persone di utilizzare i doodle anziché le password su diversi siti Web. Sembrava non essere più difficile ricordare più gesti di quanto non sia ricordare password diverse per ogni sito.
In effetti, è stato più veloce: l'accesso con un gesto ha richiesto da due a sei secondi in meno rispetto a una password di testo. È anche più veloce generare un gesto che una password: le persone hanno trascorso il 42% in meno di tempo a generare credenziali di gesto rispetto alle persone che abbiamo studiato che hanno dovuto inventare nuove password. Abbiamo anche scoperto che le persone potevano inserire con successo i gesti senza dedicare più attenzione a loro come avevano dovuto con le password di testo.
Le interazioni basate sui gesti sono popolari e prevalenti su piattaforme mobili e si stanno facendo sempre più strada verso laptop e desktop dotati di touchscreen. I proprietari di questi tipi di dispositivi potrebbero beneficiare di un metodo di autenticazione rapido, semplice e sicuro come il nostro.
Questo articolo è stato originariamente pubblicato su The Conversation.
Janne Lindqvist, assistente professore di ingegneria elettrica e informatica, Università di Rutgers
