Bijna 80 procent van de Amerikanen bezit een smartphone, en een groeiend deel van hen gebruikt smartphones voor internettoegang, niet alleen wanneer ze onderweg zijn. Dit leidt ertoe dat mensen aanzienlijke hoeveelheden persoonlijke en privégegevens opslaan op hun mobiele apparaten.
Vaak is er maar één beveiligingslaag die al die gegevens beschermt - e-mails en sms-berichten, profielen op sociale media, bankrekeningen en creditcards, zelfs andere wachtwoorden voor online services. Het is het wachtwoord dat het scherm van de smartphone ontgrendelt. Meestal houdt dit in dat u een nummer invoert of gewoon een vingertop op een sensor legt.
De afgelopen jaren hebben mijn onderzoeksgroep, mijn collega's en ik een betere manier ontworpen, gemaakt en getest. We noemen het 'door de gebruiker gegenereerde vrije vormbewegingen', wat betekent dat eigenaren van smartphones hun eigen beveiligingspatroon op het scherm kunnen tekenen. Het is een heel eenvoudig idee dat verrassend veilig is.
Verbetering van de zwakke beveiliging van vandaag
Het lijkt erop dat biometrische authenticatie, zoals een vingerafdruk, sterker zou kunnen zijn. Maar dat is het niet, omdat de meeste systemen waarbij een gebruiker vingerafdruktoegang toestaat, ook een pincode of wachtwoord nodig hebben als alternatieve back-upmethode. Een gebruiker - of dief - kan de biometrische methode overslaan en in plaats daarvan gewoon een pincode of wachtwoord invoeren (of raden).
Tekstwachtwoorden kunnen moeilijk zijn om nauwkeurig in te voeren op mobiele apparaten, met kleine "shift" -toetsen en andere knoppen om in te drukken om cijfers of leestekens in te voeren. Dientengevolge gebruiken mensen in plaats daarvan PIN-codes, die sneller maar veel gemakkelijker geraden kunnen worden, omdat het korte sequenties zijn die mensen op voorspelbare manieren kiezen: bijvoorbeeld met geboortedata. Sommige apparaten stellen gebruikers in staat om een connect-the-dots patroon op een raster op het scherm te kiezen - maar die kunnen zelfs minder veilig zijn dan driecijferige pincodes.
In vergelijking met andere methoden verhoogt onze aanpak de potentiële lengte en complexiteit van een wachtwoord aanzienlijk. Gebruikers tekenen eenvoudig een patroon over een volledig touchscreen, met behulp van een willekeurig aantal locaties op het scherm.
Tekeningen meten
Terwijl gebruikers een vorm of patroon op het scherm tekenen, volgen we hun vingers en nemen we op waar ze bewegen en hoe snel (of langzaam). We vergelijken dat nummer met een nummer dat is opgenomen toen ze de op gebaren gebaseerde aanmelding instellen. Deze bescherming kan alleen worden toegevoegd door softwarewijzigingen; het heeft geen specifieke hardware of andere aanpassingen aan bestaande touchscreen-apparaten nodig. Naarmate touchscreens vaker voorkomen op laptops, kan deze methode ook worden gebruikt om ze te beschermen.
Ons systeem stelt mensen ook in staat om meer dan één vinger te gebruiken - hoewel sommige deelnemers ten onrechte aannamen dat eenvoudige gebaren met meerdere vingers veiliger zijn dan hetzelfde gebaar met slechts één vinger. De sleutel tot het verbeteren van de beveiliging met behulp van een of meer vingers is om een ontwerp te maken dat niet gemakkelijk te raden is.
Makkelijk te doen en te onthouden, moeilijk te breken
Sommige mensen die aan onze studies hebben deelgenomen, hebben gebaren gemaakt die kunnen worden gearticuleerd als symbolen, zoals cijfers, geometrische vormen (zoals een cilinder) en muzieknotaties. Dat maakte gecompliceerde doodles - inclusief degene die vingers optillen (multistroke) - gemakkelijk voor hen om te onthouden.
Deze observatie inspireerde ons om te bestuderen en nieuwe manieren te creëren om te proberen gebaarwachtwoorden te raden. We hebben een lijst met mogelijke symbolen samengesteld en geprobeerd. Maar zelfs een relatief eenvoudig symbool, zoals een achtste noot, kan op zoveel verschillende manieren worden getekend dat het berekenen van de mogelijke variaties rekenintensief en tijdrovend is. Dit is anders dan tekstwachtwoorden, waarvoor variaties eenvoudig zijn uit te proberen.
Meer dan één wachtwoord vervangen
Ons onderzoek is verder gegaan dan alleen een gebaar gebruiken om een smartphone te ontgrendelen. We hebben op verschillende websites het potentieel voor mensen onderzocht om doodles in plaats van wachtwoorden te gebruiken. Het bleek niet moeilijker om meerdere gebaren te onthouden dan om verschillende wachtwoorden voor elke site te onthouden.
Het was zelfs sneller: inloggen met een gebaar kostte twee tot zes seconden minder tijd dan met een tekstwachtwoord. Het is ook sneller om een gebaar te genereren dan een wachtwoord: mensen besteedden 42 procent minder tijd aan het genereren van gebaarreferenties dan mensen die we hebben bestudeerd en die nieuwe wachtwoorden moesten verzinnen. We ontdekten ook dat mensen met succes gebaren konden invoeren zonder er zoveel aandacht aan te besteden als met tekstwachtwoorden.
Op gebaren gebaseerde interacties zijn populair en gangbaar op mobiele platforms, en vinden steeds vaker hun weg naar laptops en desktops met touchscreen. De eigenaren van dit soort apparaten kunnen profiteren van een snelle, gemakkelijke en veiligere authenticatiemethode zoals die van ons.
Dit artikel is oorspronkelijk gepubliceerd op The Conversation.
Janne Lindqvist, universitair docent elektrotechniek en computertechnologie, Rutgers University
