Щоранку ви берете телефон, ще не розплющивши очей, і автоматично малюєте на екрані знайому фігуру. Це швидко й зручно. Але графічний ключ — чи не найслабший спосіб заблокувати Android: його видно через плече, він залишається жирним слідом на склі, а спеціальна програма відтворює його за лічені спроби. Розповідаємо, чому варто перейти на PIN-код або біометрію — і як це зробити.
Більшість людей обирають однакові фігури та літери
Погляньмо правді в очі: ми — люди звички. Налаштовуючи графічний ключ, ми тяжіємо до знайомого. Зʼєднати крапки так, щоб утворилися літери на кшталт C, L, M, N, O, S чи Z або цифри 2, 5, 7 і 9, — справа нескладна. Навіть квадрат чи трикутник здаються вдалим вибором: їх легко запамʼятати. Та якщо фігуру легко відтворити вам, її так само легко вгадати й сторонньому.
Особливо коли людина знає вас достатньо, щоб припустити: ви виберете ініціали власного імені або цифри дати народження. До того ж, як показало дослідження, описане Ars Technica, більшість користувачів починають візерунок із верхнього лівого кута й ведуть зліва направо або згори вниз — так само, як ми читаємо текст. За даними дослідниці Марте Льоге, з верхнього лівого кута стартують 44% візерунків, а з одного з чотирьох кутів — аж 77%. Це різко звужує коло варіантів для того, хто намагається підібрати ключ.
Тож якщо ваш ключ — це проста літера або рух уздовж краю екрана, саме його спробують відтворити першим, щойно ваш телефон опиниться в чужих руках.
Сліди на екрані видають ваш графічний ключ
Щоразу, проводячи пальцем по екрану, ви залишаєте жирний слід — ті самі плями, які зазвичай просто забруднюють скло. Але у вмілих руках вони перетворюються на підказку.
Уявіть: ви на мить лишили телефон на столику в кафе. Хтось бере його, нахиляє до світла — і відбитки пальців проявляють траєкторію розблокування. Цей метод називають атакою за слідами (smudge attack).
Згідно з дослідженням фахівців Університету Пенсильванії, за ідеальних умов така атака дозволяє визначити графічний ключ у 68% випадків. Що цікаво, складніші візерунки з більшою кількістю поворотів нерідко залишають чіткіший слід — і розпізнати їх буває навіть простіше, ніж прості.
Камера й алгоритм зламують ключ за пʼять спроб
Найсерйозніша загроза не потребує ні доступу до телефона, ні чистого екрана — достатньо камери. Дослідники з Ланкастерського університету, Північно-Західного університету (Китай) та Університету Бата довели, що графічний ключ можна надійно зламати за пʼять спроб за допомогою відео й алгоритму компʼютерного зору.
Зловмиснику достатньо непомітно зняти на відео, як ви розблоковуєте пристрій, — наприклад, поки ви пʼєте каву в людному кафе. Програма відстежує рухи кінчика пальця відносно корпуса телефона й за секунди видає кілька найімовірніших варіантів ключа. Атака працює, навіть якщо на відео не видно вмісту екрана, і не залежить від його розміру: запис із камери смартфона ефективний на відстані до 2,5 метра, а з дзеркального фотоапарата — до 9 метрів.
На вибірці зі 120 унікальних візерунків дослідники відтворили понад 95% із них за пʼять спроб. І головне — найкраще піддавалися злому саме складні візерунки: майже всі їх вдалося вгадати з першої спроби, тоді як прості — лише в 60% випадків. Тобто поширена порада «ускладнюйте ключ» проти такої атаки не лише не допомагає, а й шкодить: що більше ліній, то легше алгоритму звузити пошук.
Додатковий ризик — звичка використовувати той самий ключ на кількох пристроях: відтворивши його одного разу, зловмисник отримує доступ і до решти.
Комбінацій менше, ніж здається
Візерунок можна почати з будь-якої з девʼяти точок сітки 3×3. Але далі вибір обмежений: повторювати точку не можна, а до деяких можна дістатися, лише пройшовши через сусідні.
З урахуванням цих правил усього існує 389 112 можливих комбінацій. Звучить багато — поки не згадати, що користувачі майже завжди обирають короткі візерунки. Ключ із чотирьох точок дає лише 1 624 варіанти, а найпоширеніша довжина у пʼять точок — близько 7 152. Для порівняння: 6-значний PIN-код має мільйон комбінацій, а пароль із літер, цифр і символів — мільярди.
Невеликий простір варіантів означає, що зловмисник може скористатися програмою, яка автоматично перебирає ймовірні ключі. З PIN-кодами та паролями це теж можливо, але значно складніше.
Ваш ключ легко підгледіти через плече
Уявіть, що розблоковуєте телефон у громадському місці, а хтось поряд кидає погляд на екран. Швидкого погляду через плече часто досить, щоб запамʼятати намальовану фігуру. Цей прийом називають атакою через плече (shoulder surfing).
Сильна й водночас слабка сторона графічного ключа — його наочність: великий, простий рух легко запамʼятати навіть здалеку. Частково зарадить проста звичка — тримати пристрій під кутом, який прикриває екран від сторонніх. Щоправда, від прихованої камери це вже не врятує.
Чим замінити графічний ключ
Графічний ключ здається зручним, але належного захисту не дає. Якщо ви хочете надійно заблокувати Android, є кращі варіанти.
Найпростіший — PIN-код або пароль. Оптимально брати PIN щонайменше з шести цифр (а не зі стандартних чотирьох) або пароль із літер, цифр і символів: випадковий набір знаків зламати незрівнянно важче. Якщо запамʼятовувати довгий пароль незручно, скористайтеся біометричною автентифікацією — за відбитком пальця або обличчям, якщо ваш пристрій має відповідне обладнання. Варто враховувати, що на багатьох Android-смартфонах розблокування за обличчям менш надійне, ніж сканер відбитка, тож для критично важливих даних краще покладатися на відбиток або сильний PIN-код.
Не забувайте й про додаткові налаштування захисту. Режим блокування (Lockdown) одним дотиком вимикає біометрію та приховує сповіщення на екрані блокування, поки ви не введете PIN-код чи пароль, — корисно, якщо вас можуть змусити прикласти палець. А PIN-код на SIM-картці не дасть переставити її в інший телефон.
Графічні візерунки виглядають мило, але рішучого зловмисника вони не спинять. Оберіть надійніший спосіб блокування — і ваш телефон та особисті дані будуть у більшій безпеці.
