Von ganz schwach bis sehr stark: Wer am Laptop oder PC ein neues Passwort einrichtet, bekommt meist per rot-gelb-grünem Balken dessen Sicherheitslevel signalisiert. An einem entsprechenden Hinweissystem für die Entsperrmuster von Smartphones wird derzeit geforscht.

Bisher gibt es nämlich bei Android-Smartphones keine Rückmeldung zur Stärke des gewählten Codes. Erste Konzepte für ein solches Stärke-Meter beruhen durchgehend auf visuellen Eigenschaften. “Sie überprüfen zum Beispiel die Anzahl der Kreuzungen im Muster, den Startpunkt, die Länge oder ob es Überlappungen gibt”, so Maximilian Golla, Doktorand in der Bochumer Arbeitsgruppe Mobile Security am Horst-Görtz-Institut für IT-Sicherheit.

Allerdings zeigt die aktuelle Studie, dass diese Parameter nur wenig mit der tatsächlichen Stärke des Entsperrmusters zu tun haben. Das Grundproblem: Unabhängig von der Komplexität des grafischen Codes kommt es auch darauf an, wie gut ein Angreifer diesen erraten kann. Zwar sind mit den Android-Vorgaben auf dem Drei-mal-drei-Punkte-Feld im Prinzip 389.112 verschiedene Muster möglich. Doch Nutzer haben ganz bestimmte Vorlieben. Sie tendieren etwa dazu, oben links zu beginnen und das Muster unten rechts enden zu lassen.

Generell seien Stärke-Meter jedoch nützlich. Denn ihre pure Anwesenheit motiviere die Nutzer, sich über den Code Gedanken zu machen, sagen die Forscher. Allerdings sei es wenig hilfreich, wenn Nutzer dazu gebracht würden, das allerstärkste Muster einzugeben. Der Grund: Das Android-Betriebssystem begrenze die Anzahl der möglichen Rateversuche, deshalb sei übertriebene Sicherheit nicht nötig. cid/rhu