A problemática do uso de senhas fracas no mundo dos dispositivos móveis também é um dos principais motivos pelos quais muitos usuários preguiçosos acabam sendo vítimas de ataques, principalmente depois de criar chaves simples ou mesmo por deixar a que vem de fábrica. Especificamente, podemos ver isso no padrão de autenticação dos smartphones e tablets Android.
Em diversas ocasiões, temos falado sobre o uso de senhas fortes, sugerindo também utilizar um duplo fator de autenticação sempre que a plataforma permitir. Temos recomendado não utilizar senhas do tipo “admin” ou “1234”, pois são consideradas senhas quase “padrão” de muitos sistemas.
Os dispositivos Android permitem como modalidade de desbloqueio a inserção de um PIN numérico, uma senha alfanumérica ou um padrão gráfico. Sendo esse último muito popular entre os usuários, vamos nos aprofundar sobre as possibilidades de que sejam adivinhados, quais são os desenhos mais comuns e, com base nisso, como é possível aumentar a segurança do seu smartphone na hora de escolher o seu padrão.
Como funciona o padrão?
Desde 2008, o Google tem implementado na plataforma Android o padrão de desbloqueio como medida de segurança para bloquear um equipamento. A técnica migrou por meio de aplicativos para outros sistemas operacionais diferentes, como é o caso do iOS da Apple.
Esse traço personalizado, em muitos casos, se transforma na primeira barreira de segurança física ligada a esses smartphones.
Apesar do teclado estar composto por uma combinação de nove números, dando uma grande quantidade de possibilidades (quase chegando a um milhão) o padrão pode ter no mínimo 4, e no máximo 9 dígitos, o que já começa a limitar as variáveis para 389.000.
Por outro lado, esse número também está condicionado pelas três seguintes regras:
- Cada ponto só pode ser utilizado uma vez. Olhando a imagem acima você pode observar como combinações como, por exemplo, “233” ou “5555” são impossíveis.
- Não é possível omitir um ponto intermediário em uma reta. Quero dizer que as combinações “4646” ou “7171” são outro claro exemplo entre muitas das quantidades de variáveis não permitidas pelo sistema.
- O dedo não pode sair da superfície táctil. Essa regra também está vinculada a anterior, além disso, possui o agravante de que muitas vezes os dedos deixam rastros visíveis na tela e, dessa forma, é fácil chegar a ver o caminho que o padrão tem feito, já que por essa regra não há muitas variantes. Para dar um exemplo, apenas existem duas maneiras de escrever o padrão da figura “124578369” ou “963875421”.
O que dizem as estatísticas?
Um recente estudo da Universidade de Ciência e Tecnologia da Noruega demonstrou que os usuários escolhem combinações muito previsíveis e, por isso, fracas. Dos 4.000 padrões analisados, 44% começava pelo esquema superior esquerdo, e 20% dos casos desenhavam uma letra imaginária que costuma estar associada ao nome próprio de algum familiar, amigo ou animal de estimação.
Além disso, a maioria utilizava quatro ou menos pontos, limitando a quantidade de combinações possíveis. O estudo indica algumas tendências que deixam claro que os seres humanos são previsíveis, segundo concluiu a estudante norueguesa Marte Løge em sua tese.
Outras de suas conclusões foram:
- 77% dos padrões iniciam com um dos quatro esquemas.
- 5 é a média de dígitos utilizados, o que implica que são possíveis apenas 9.000 combinações.
- Costumam começar da esquerda para a direita e de cima para baixo.
- Em geral, os padrões criados por homens eram mais longos (e mais seguros) que a média dos criados pelas mulheres.
- Tantos as pessoas surdas como destras compartilham os mesmos padrões.
Da mesma forma que a senha “Admin” ou “1234”, muitos padrões se transformam em fáceis de descobrir, principalmente quando começam com a letra inicial do seu próprio nome ou de alguém muito próximo. Se o atacante conhece essa informação, reduziria as possibilidades em mais ou menos cem.
Na imagem a seguir podemos ver três códigos inseguros, que nunca devem ser utilizados:
Padrão mais seguro
As regras aqui seguem a mesma lógica que as da construção de uma senha segura. É importante não formar letras e utilizar padrões que, na medida do possível, tenham 9 pontos.
É bastante conveniente utilizar um padrão que contenha um triângulo para apagar os rastros dos dedos e, de alguma forma, mudar a inércia do traço deixado para despistar aos atacantes.
Na imagem a seguir podemos visualizar dois padrões, nos quais adivinhar a combinação é realmente algo complexo e demandaria muito tempo:
Em muitos modelos de smartphones existe a opção de não tornar visível o traço, que é prática recomendável pois, dessa forma, caso alguém tente descobrir o código de desbloqueio, será bem mais difícil e te deixará bem mais seguro.
Infelizmente, as senhas mais utilizadas costumam ser aquelas que tem todos os caracteres repetidos ou sequências de números como 1234, os números pares 2468 ou os ímpares 1357. Também é bem comum que os usuários utilizem a combinação 2580, associada à linha central dos teclados dos telefones.
Umas das dicas na hora de escolher uma senha é não utilizar datas relacionadas com o usuário.
O que podemos concluir?
Temos visto quais são os padrões que não devemos utilizar quando a segurança do dispositivo está em suas mãos; no entanto, também seria lógico pensar e tentar solicitar aos desenvolvedores que aumentem a proteção. Por exemplo, quebrando alguma das leis mencionadas – como a de não poder repetir um ponto ou sair da superfície tátil. Dessa forma, se incrementaria de forma exponencial a quantidade de probabilidades.
Como mencionamos no início deste post, também existem outros métodos de desbloqueio que oferecem muito mais segurança como é o caso das chaves alfanuméricas. No entanto, a tendência é que a autenticação nos smartphones comece a migrar para fatores de desbloqueios biométricos, como é o reconhecimento fácil ou os leitores de impressões digitais. No entanto, até que a migração seja total, devemos manter seguros os padrões de bloqueio.
É fundamental usar senhas mais robustas, mesmo que seja tentador escolher uma simples chave de quatro dígitos. O ideal é sempre pensar o que aconteceria se alguém tivesse acesso aos nossos dados quando também possuímos uma senha previsível.
A solução é escolher senhas mais extensas e não apenas numéricas, a maioria dos dispositivos móveis permitem isso. E nos casos em que não seja possível, ou para outro tipo de senha como as dos cartões de crédito ou outros PIN de segurança, o melhor é utilizar combinações pouco previsíveis e, além disso, trocá-las regularmente.