Графические ключи так же предсказуемы, как пароли «1234567» и «password»
Введение в Assembler
Многочисленные утечки данных не раз доказывали, что самые распространенные пароли (а также самые уязвимые), это всевозможные вариации на тему «password», «p@$$w0rd» и «1234567». Когда в 2008 году в Android появились графические ключи, казалось, они могут изменить ситуацию. Теперь становится ясно, что ситуация с графическими ключами мало отличается от ситуации с обычными паролями. Выпускница Норвежского университета естественных и технических наук Марте Лёге (Marte Løge) провела исследование данной темы, в ходе защиты магистерской диссертации. Свой доклад под названием «Скажи мне кто ты, и я скажу тебе, как выглядит твой графический пароль» Лёге зачитала на конференции PasswordsCon в Лас-Вегасе.
Так как графически ключи еще сравнительно молоды, и собрать большое количество примеров реальных ключей «из жизни» затруднительно, выборка у Лёге получилась небольшая – она проанализировала 4 000 Android lock Patterns (ALP). Тем не менее, полученные на выходе данные оказались небезынтересны.
«Люди предсказуемы. В случае графических паролей, мы наблюдаем тот же подход, которым люди руководствуются при создании PIN-кодов и обычных буквенно-числовых комбинаций», — рассказала Лёге на конференции. ALP может содержать не менее 4 узлов и не более 9, что суммарно дает 389,112 возможных комбинаций. Так же как в случае с обычными паролями, число комбинаций возрастает экспоненциально, вместе с длиной графического ключа.
| Длина графического ключа | Число комбинаций |
| 4 | 1,624 |
| 5 | 7,152 |
| 6 | 26,016 |
| 7 | 72,912 |
| 8 | 140,704 |
| 9 | 140,704 |
В целом, основные собранные данные таковы:
Лёге попросила опрошенных создать три разных ALP: для банковского приложения, для приложению для покупок и для разблокировки смартфона.
К сожалению, опрошенные мужчины и женщины, в подавляющем большинстве, создали ключи из 4-5 узлов. Наименее популярны у пользователей, по неясной причине, оказались пароли длиной 8 узлов, и даже пароли из максимальных 9 узлов набрали больше «голосов».
На иллюстрации ниже верхняя колонка – пароли мужчин, нижняя – пароли женщин:
Мужчины в целом придумывают более сложные и длинные пароли, чем женщины. Самые сложные пароли – у молодых мужчин. Иллюстрация ниже демонстрирует разницу в сложности паролей:
Однако количество узлов – не единственный важный фактор для создания надежного графического ключа. Специфическая последовательность соединения узлов также является ключевым моментом для такого пароля. Если присвоить узлам пароля числа, расположив их так же, как они расположены на клавиатуре обычного телефона, получится, что последовательность 1, 2, 3, 6 куда менее безопасна, чем 2, 1, 3, 6, которая меняет направление.
Мужчины и здесь выбирают более надежные комбинации, такие как последовательность 2, 3, 1. Женщины почти никогда не выбирают комбинации с пересечениями. Лёге отмечает, что людям, в целом, сложно запомнить паттерны высокой сложности.
Команда исследователей формализовала систему оценки сложности графических ключей еще в 2014 году, представив документ «Dissecting pattern unlock: The effect of pattern strength meter on pattern selection».
Опираясь на данную систему оценки надежности комбинаций, Лёге получила следующие цифры: самый ненадежный пароль среди опрошенных набрал 6,6 баллов, самый надежный – 46,8 баллов. Средняя надежность пароля составила 13,6 баллов.
Помимо прочего, графические ключи оказались подвержены той же «болезни», что и численно-буквенные пароли, в качестве которых пользователи часто используют обычные слова. Более 10% полученных Лёге паролей оказались обычным буквами, которые пользователи чертили на экране. Хуже того, почти всегда выяснялось, что это не просто буква, но первая буква имени самого опрошенного, его супруга(ги), ребенка и так далее. Если атакующий, пытается взломать смартфон и знает имя жертвы, все становится совсем просто.
«Было очень забавно видеть, что люди используют ту же стратегию запоминания, к которой привыкли, используя численно-буквенные пароли. Тот же самый образ мысли», — рассказала Лёге. Выходит, если атакующим удастся собрать достаточно большое количество графических ключей, они смогут воспользоваться моделью Маркова, что значительно увеличит их шансы на успех. Лёге не стала фокусироваться на данном методе взлома в своем докладе из этических соображений.
В заключение Лёге дала ряд советов, как сделать ALP безопаснее. Во-первых, в графическом ключе стоит использовать большее количество узлов, что сделает пароль более сложным. Во-вторых, стоит добавить пересечений, так как они усложняют атакующим подбор комбинации и помогут запутать злоумышленника, если тот решил подсмотреть пароль через плечо жертвы. В-третьих, стоит отключить опцию «показывать паттерн» в настройках безопасности Android: если линии между точками не будут отображаться на экране, подсмотреть ваш пароль станет еще сложнее.
Скажи мне, кто ты, и я скажу тебе, какой у тебя графический ключ на смартфоне
Человеческую предсказуемость сложно переоценить, когда дело касается паролей. А что насчет графических ключей, мы так же предсказуемы, когда их создаем?
Человеческую предсказуемость сложно переоценить. И когда дело касается паролей, PIN-кодов и тому подобного, это может стать серьезной проблемой. Многие из нас используют в качестве паролей имена, даты рождения и прочие вещи, которые несложно угадать, это не говоря уже о совсем уж негодных паролях вроде «12345», которые до сих пор остаются на удивление популярны.
А что насчет графических ключей — мы настолько же предсказуемы, когда создаем их? Оказывается, что да, очень даже предсказуемы.
Исследователь Марта Логе (Marte Løge) из норвежской компании Itera (нет, к нашей газовой «Итере» эта компания не имеет никакого отношения) провела анализ того, какие графические ключи люди создают. Она просила участников исследования создать три ключа: для шопинг-приложения, экрана блокировки смартфона и банковского приложения. Результаты оказались потрясающе интересными.
Во-первых, прослеживается четкая связь между типом приложений и сложностью паттернов, которые люди создают для входа в них. Как это ни странно, люди используют для входа в смартфон более короткие графические ключи, чем для входа в банковское или даже шопинг-приложение.
Насколько мы предсказуемы, когда создаем графические #ключи для #Android, и как создать по-настоящему надежный?
Во-вторых, множество людей (порядка 10% из нескольких тысяч участников исследования) используют паттерны, похожие на буквы, благо девятиточечная система весьма неплохо для этого подходит. Такие графические ключи абсолютно ненадежны и фактически являются прямым аналогом самых идиотских паролей вроде «12345».
Паттерны в виде букв — самые неудачные и самые легкоугадываемые
В-третьих, несмотря на то, что общее количество комбинаций паттернов составляет вполне внушительные 390 тыс. с небольшим, на самом деле количество вариантов для перебора можно существенно снизить благодаря человеческому фактору. Большая часть комбинаций — это ключи, в которых использованы восемь или девять точек из девяти имеющихся. Проблема в том, что такие ключи очень мало кто использует.
Несмотря на то что общее количество комбинаций выглядит вполне внушительно, следует понимать, что порядка 3/4 из них — это 8- и 9-точечные ключи, которыми в реальности редко пользуются
Средняя длина ключа — около пяти точек, что не так уж хорошо для надежной защиты. Такая длина дает количество комбинаций порядка 7 тыс., что очевидно хуже, чем даже простейший PIN-код из четырех цифр. Ну а самой популярной длиной графического ключа являются четыре точки, а это всего-навсего 1600 комбинаций.
Но и это еще не все: количество вариантов можно дополнительно снизить, поскольку можно с высокой вероятностью предсказать начальную точку паттерна. Примерно в половине случаев люди начинают паттерн с верхнего левого угла. Добавьте к этому нижний левый и верхний правый углы — и вы охватите 73% всех реально используемых людьми комбинаций.
Причем результаты почти не зависят от того, правша человек или левша, пользуется он устройством двумя руками (более вероятно для крупных экранов) или одной рукой (вероятно для небольших экранов). Цифры в любом случае очень похожие.
Еще один примечательный факт: женщины в среднем используют более слабые графические ключи, чем мужчины. И возраст тоже имеет значение: чем моложе человек, тем более вероятно, что он использует длинный паттерн. Таким образом, знание пола и возраста помогает предсказать, какой паттерн человек использует.
Какие практические выводы мы можем сделать из данного исследования? Основной таков: если вы пользуетесь графическими ключами для защиты экрана блокировки Android или каких-либо важных приложений, то лучшая стратегия — делать так, как не делает почти никто. А именно:
Лучшие и популярные графические ключи в картинках
Как выбрать максимально надежный графический ключ для блокировки смартфона?
Что только не придумывают производители смартфонов для того, чтобы пользователи отказались от паролей вроде 1234 или qwerty, подобрать которые не составляет никакого труда. Как выяснилось, использования графического ключа на странице блокировки ничуть не усложняет несанкционированный вход в устройство, поскольку большинство владельцев смартфонов используют примерно одинаковые ключи.
Исследование четырех тысяч мобильных устройств, проведенное выпускницей Норвежского университета науки и технологии Марте Логе, показало, что в 77% случаев пользователи рисуют ключ, начиная от одного из углов, и с вероятностью 44% это левый верхний угол. Большинство пользователей соединяют лишь 4 точки, а 10% рисуют какую-либо букву, которую проще всго запомнить (например, начальную из своего имени). Получается, что защита графическим ключом не такая надежная, как принято считать. В некоторых случаях она такая же слабая, как однобуквенный пароль.
Результаты этого исследования были представлены на конференции PasswordCon в Лас-Вегасе. По словам Марте, наиболее редкие комбинации — те, при которой ключ нарисован пересекающимися линиями. Их труднее всего подобрать, и сложность возрастает с увеличением числа линий.
Чтобы избежать взлома при использовании этой схемы защиты, нужно следовать нескольким правилам:
— Рисуйте ключ, начиная откуда угодно, но не из угла; — Используйте как можно большее число точек; — Следите за тем, чтобы окружающие не подглядели ваш пароль; — Не забывайте протирать экран, ведь на нем может остаться след от пальца, который выдаст ваш ключ; — Время от времени меняйте ключ блокировки. В этом случае, даже если кто-то подглядит ваш пароль, то может не успеть им воспользоваться.
Некоторые оболочки для Android (например, CyanogenMod) позволяют усложнить ключ — увеличить число точек или спрятать их с экрана. Подсмотреть ключ становится еще сложнее, ведь «злоумышленнику» будет довольно трудно запомнить рисунок, если он не знает размер «матрицы» и не видит точки. Правда, и вам с непривычки будет затруднительно вводить такой ключ.
Приложений, которые бы генерировали и запоминали графические ключи, еще не существует, поэтому придется полагаться на собственную память. После того, как вы установили новый ключ (особенно если он сложный), несколько раз подряд заблокируйте экран и смартфона и разблокируйте его, чтобы рисунок остался в вашей памяти.
Графические ключи так же предсказуемы, как пароли «1234567» и «password»
Многочисленные утечки данных не раз доказывали, что самые распространенные пароли (а также самые уязвимые), это всевозможные вариации на тему «password», «$$w0rd» и «1234567». Когда в 2008 году в Android появились графические ключи, казалось, они могут изменить ситуацию.
Теперь становится ясно, что ситуация с графическими ключами мало отличается от ситуации с обычными паролями. Выпускница Норвежского университета естественных и технических наук Марте Лёге (Marte Løge) провела исследование данной темы, в ходе защиты магистерской диссертации. Свой доклад под названием «Скажи мне кто ты, и я скажу тебе, как выглядит твой графический пароль» Лёге зачитала на конференции PasswordsCon в Лас-Вегасе, пишет xakep.ru.
Так как графически ключи еще сравнительно молоды, и собрать большое количество примеров реальных ключей «из жизни» затруднительно, выборка у Лёге получилась небольшая – она проанализировала 4 000 Android lock Patterns (ALP). Тем не менее, полученные на выходе данные оказались небезынтересны.
«Люди предсказуемы. В случае графических паролей, мы наблюдаем тот же подход, которым люди руководствуются при создании PIN-кодов и обычных буквенно-числовых комбинаций», — рассказала Лёге на конференции. ALP может содержать не менее 4 узлов и не более 9, что суммарно дает 389,112 возможных комбинаций. Так же как в случае с обычными паролями, число комбинаций возрастает экспоненциально, вместе с длиной графического ключа.
| Длина графического ключа | Число комбинаций |
| 4 | 1,624 |
| 5 | 7,152 |
| 6 | 26,016 |
| 7 | 72,912 |
| 8 | 140,704 |
| 9 | 140,704 |
В целом, основные собранные данные таковы:
Лёге попросила опрошенных создать три разных ALP: для банковского приложения, для приложению для покупок и для разблокировки смартфона. К сожалению, опрошенные мужчины и женщины, в подавляющем большинстве, создали ключи из 4-5 узлов. Наименее популярны у пользователей, по неясной причине, оказались пароли длиной 8 узлов, и даже пароли из максимальных 9 узлов набрали больше «голосов». На иллюстрации ниже верхняя колонка – пароли мужчин, нижняя – пароли женщин:
Мужчины в целом придумывают более сложные и длинные пароли, чем женщины. Самые сложные пароли – у молодых мужчин. Иллюстрация ниже демонстрирует разницу в сложности паролей:
Однако количество узлов – не единственный важный фактор для создания надежного графического ключа. Специфическая последовательность соединения узлов также является ключевым моментом для такого пароля. Если присвоить узлам пароля числа, расположив их так же, как они расположены на клавиатуре обычного телефона, получится, что последовательность 1, 2, 3, 6 куда менее безопасна, чем 2, 1, 3, 6, которая меняет направление.
Мужчины и здесь выбирают более надежные комбинации, такие как последовательность 2, 3, 1. Женщины почти никогда не выбирают комбинации с пересечениями. Лёге отмечает, что людям, в целом, сложно запомнить паттерны высокой сложности.
Команда исследователей формализовала систему оценки сложности графических ключей еще в 2014 году, представив документ «Dissecting pattern unlock: The effect of pattern strength meter on pattern selection».
Опираясь на данную систему оценки надежности комбинаций, Лёге получила следующие цифры: самый ненадежный пароль среди опрошенных набрал 6,6 баллов, самый надежный – 46,8 баллов. Средняя надежность пароля составила 13,6 баллов.
Помимо прочего, графические ключи оказались подвержены той же «болезни», что и численно-буквенные пароли, в качестве которых пользователи часто используют обычные слова. Более 10% полученных Лёге паролей оказались обычным буквами, которые пользователи чертили на экране. Хуже того, почти всегда выяснялось, что это не просто буква, но первая буква имени самого опрошенного, его супруга(ги), ребенка и так далее. Если атакующий, пытается взломать смартфон и знает имя жертвы, все становится совсем просто.
«Было очень забавно видеть, что люди используют ту же стратегию запоминания, к которой привыкли, используя численно-буквенные пароли. Тот же самый образ мысли», — рассказала Лёге. Выходит, если атакующим удастся собрать достаточно большое количество графических ключей, они смогут воспользоваться моделью Маркова, что значительно увеличит их шансы на успех. Лёге не стала фокусироваться на данном методе взлома в своем докладе из этических соображений.
В заключение Лёге дала ряд советов, как сделать ALP безопаснее. Во-первых, в графическом ключе стоит использовать большее количество узлов, что сделает пароль более сложным. Во-вторых, стоит добавить пересечений, так как они усложняют атакующим подбор комбинации и помогут запутать злоумышленника, если тот решил подсмотреть пароль через плечо жертвы. В-третьих, стоит отключить опцию «показывать паттерн» в настройках безопасности Android: если линии между точками не будут отображаться на экране, подсмотреть ваш пароль станет еще сложнее.
Используем учетную запись Google
Разблокировать смартфон можно используя свою учетную запись в Гугл. Алгоритм действий следующий:
Сброс графического ключа на телефоне LG G4c H522Y
В своё время я задолбал многих синей коробкой. Что ж, пришло время начать задалбывать другой синей коробкой. )))) На ремонте лыжа. Нужно скинуть графический ключ без потери данных. )
Собственно и сама синяя коробка. )))
Цепляем коробок к компу, запускаем лыжепрогу. Телефон на процессоре MTK, соответственно ищем его на данной вкладке. Жмём Reset Screen Lock.
Делаем что написано. Втыкаем специальный кабель, либо жмём увеличение громкости секунд 10 и подключаем трубку к компу. В логе видим, то что всё прошло успешно. )
Включаем телефон, графического ключа как не бывало. Все данные на месте. )))
Как разблокировать забытый графический ключ на Андроид
Как разблокировать забытый графический ключ на Андроид. Сейчас многие владельцы смартфонов используют для разблокировки метод ввода графического ключа. Это позволяет защитить аппарат от воров, которые попросту не смогут получить доступ к содержимому девайса. Однако иногда такой метод играет с пользователем злую шутку. Направление движений пальца вполне можно забыть. В такой момент владелец устройства начинает задаваться вопросом: «Как разблокировать Андроид, если забыл графический ключ?». В сегодняшнем материале мы во всех подробностях ответим на данный вопрос.
Сброс настроек
Отличным вариантом для того чтобы обойти графический ключ на смартфоне Андроид является сброс настроек. Конечно же, такой способ оптимальный, если устройство совсем новое, и на нем нет никакой важной личной информации. Таким образом, вы сможете возвратиться к заводским настройкам, а значит, указать новую фигуру. Но если смартфон заполнен важными фото, видео, контактами, прочей информацией, которую не хочется потерять, то такой вариант – не для вас.
Тем не менее вы сможете защитить ту информацию, которая расположена на флеш-памяти. Для этого перед началом процедуры сброса настроек, не забудьте извлечь MicroSD. Кроме того, важно, чтобы зарядка мобильника была не ниже 65%.
Сброс настроек на примере смартфона Samsung
Поскольку в ситуации, когда заблокирован смартфон, зайти в меню телефона не получится, сброс возможен посредством комбинации кнопок. Такая комбинация для каждой модели будет отличаться. Поэтому лучше уточнять данные на официальном сайте производителя или же найти их в интернете.
Как правило, такая процедура выглядит так:
После всех этих процедур настройки и личные данные будут сброшены. Дальше перезагружаем мобильный телефон. После чего он будет разблокирован.
Способы обхода графического ключа на Android для продвинутых пользователей
Удалить графический ключ можно с помощью специализированного файлового менеджера. Как это происходит на практике? Когда вы устанавливаете графический ключ, в файловой системе создается специальный файл. В нем – вся информация о ключе. Для того чтобы отключить пароль, нужно просто удалить этот файл. Как это сделать? Воспользоваться специальным программным обеспечением под названием AROMA File Manager.
Помимо того на гаджете должна присутствовать CWM или меню Recovery. Алгоритм действий следующий:
Но иногда случается так, что удаление gesture.key ничего не дает. Что делать в таком случае? Вы можете воспользоваться программой adb. Какой алгоритм действий?
Вариант № 2. Как разблокировать графический ключ через сброс к заводским настройкам.
В некоторых случаях разблокировать графический ключ при помощи аккаунта не получается. Например, вы не можете вспомнить логин или пароль от аккаунта. В таких случаях вы можете воспользоваться сбросом к заводским настройкам через меню восстановления (через recovery menu). Данный способ работает практически всегда и при его использовании вам не нужно вводить никакие данные. Но, выполняя сброс к заводским настройкам, вы потеряете все данные, которые хранились в памяти устройства (включая фотографии, видео, документы, контакты, сообщения и т.д.).
Итак, действия, которые вам необходимо выполнить для разблокировки графического ключа через recovery menu:
Все, после этих действий вы должны получить не заблокированное устройство с чистой системой, без программ и каких либо настроек. Если у вас не получается включить в безопасный режим, значит для вашего устройства нужно зажимать другую комбинацию клавиш. Например, на некоторых смартфонах для входа в recovery menu нужно зажимать обе клавиши громкости и кнопку включения.
Простые способы
Чаще всего проблем с восстановлением забытого кода не возникает. Перед тем как переходить к использованию кардинальных методов, стоит попробовать простые.
Аккаунт Google
Каждый пользователь создает собственную учетную запись Гугл. С ее помощью можно получить доступ не только к сервисам компании, но и к другим веб-ресурсам. Использование аккаунта является наиболее простым способом снять блокировку графического ключа с Андроида. Если код был несколько раз введен с ошибками, то операционная система предложит пользователю указать данные для входа в учетную запись.
Как только это будет сделано, блокировка снимается. Если пароль от аккаунта был забыт, то для его восстановления можно использовать компьютер. Если, кроме смартфона, под рукой нет других устройств, можно восстановить ключ непосредственно с него. Для этого телефон должен быть подключен к интернету либо сети Wi-Fi. Чтобы убрать графический ключ с планшета, нужно выполнить несколько действий:
Вызов на устройство и разрядка батареи
Способ со звонком на девайс подойдет только для версий операционной системы от 2.2 и ниже. Чтобы отменить графический ключ с Андроида, нужно сначала сделать вызов на устройство. Когда на заблокированный телефон поступит входящий звонок, его следует принять и во время разговора свернуть меню, кликнув на центральную кнопку. После этого остается зайти в «Настройки» и сменить либо удалить ключ.
Также отключить графический ключ в телефоне можно с помощью полной разрядки аккумуляторной батареи. Для этого необходимо выполнить следующие действия:
Перезагрузка настроек
Этот способ стоит использовать в ситуации, когда отключение кода другими методами невозможно. При его применении можно стереть не только сам ключ, но и всю информацию на устройстве. Иногда не получается убрать пароль с помощью перезагрузки настроек даже при выполнении всех инструкций. Дело в том, что активация функции Reset на смартфонах разных производителей отличается.
В девайсах компании Самсунг для этого нужно сделать следующее:
В гаджетах Леново алгоритм действий другой. Сначала устройство нужно выключить, а затем одновременно нажать на клавиши «Включение», «Увеличение» и «Снижение громкости» и удерживать их до появления на дисплее меню. Выбрать команду wipe/factory reset и активировать ее. После перезагрузки планшета или телефона ключ отключается. В телефонах других производителей алгоритм действия будет иным.
Использование сторонних приложений
Для того чтобы воспользоваться помощью стороннего программного обеспечения, вам нужно получить root-права. Суть данного способа в том, что в случае блокировки экрана необходимо отправить специальное SMS-сообщение на мобильный телефон. Оно будет служить определенным кодом, который позволит сбросить установленный ранее графический ключ. Для того чтобы активировать данную возможность, выполните такие действия:
Какой алгоритм работы данного программного обеспечения? Все достаточно просто. Отправьте на свой мобильный телефон сообщение с таким текстом: ХХХХ reset (где Х – пароль сброса ключа). Когда СМС поступит на ваш телефон, он перезагрузится автоматически. После чего вы сможете установить на него другой графический ключ или воспользоваться каким-то другим методом защиты.
Звонок с другого мобильного номера
Такой способ актуален только для мобильных устройств на платформе Андроид версии 2.2. и ниже. Алгоритм очень простой. Позвоните на свой заблокированный телефон с другого мобильника и просто ответьте на этот звонок. Затем сверните окно вызова и нажмете на «Домой». В результате таких действий ваше устройство временно будет разблокировано, поэтому на исправление ситуации у вас будет всего несколько секунд. Очень быстро открываем «Настройки» / «Безопасность» и удаляем графический ключ.