Hvis du tror at LGs banknummerkode er sikkert, tenk igjen
For omtrent fem år siden, da LG prøvde å annonsere sin daværende nye Knock Code-telefonlåsemekanisme, antydet det i videoklippene at den bringer 'perfekt sikkerhet'. På 2000-tallet tilsvarer dette å male et mål på ryggen, og sikker nok, om enn fem år senere, har sikkerhetseksperter nå bevist at sikkerheten til Knock Code ikke faktisk er perfekt. Før vi kommer til det, la oss imidlertid se hva Knock Code er.
Table of Contents
Hvordan fungerer Knock Code?
Som du kanskje vet, har mange store navn i høyteknologibransjen tatt fatt på et forsøk på å skape en verden uten passord, og Knock Code er en potensiell løsning som tilbys av LG. Det er en alternativ metode for å låse opp noen av produsentens modeller, og den kan brukes i stedet for et passord, en PIN-kode eller et Android-mønster.
Hvis du aktiverer det, får du fire firkanter ordnet i et 2x2 rutenett, og du må velge hvilken rekkefølge du skal banke (eller trykke) dem for å låse opp telefonen din. Du kan velge å låse opp enheten med mellom seks og ti slag, og LG regner med at det er enklere å huske dem enn å huske en streng med bokstaver eller tall.
I motsetning til PIN-koden din, kan ikke din bankkode kobles til noe som fødselsdatoen din, så den er uten tvil også sikrere. I tillegg til dette, når du låser opp telefonen, kan du faktisk ikke se Knock Code-rutene. Du kan til og med gjøre det når skjermen er slått av, noe som gjør skuldersurfing mye vanskeligere.
Du kan se anken, og ifølge eksperter fra New Jersey Institute of Technology, Ruhr University Bochum og The George Washington University, i USA alene, bruker mellom 700 000 og 2,5 millioner LG-enhetseiere Knock Code-mekanismen. Forskerne fant imidlertid ut at påstandene om "perfekt sikkerhet" kan ha vært litt for optimistiske.
Det er altfor lett å forutsi folks oppførsel
En omfattende studie av LGs Knock Codes produserte en 23-siders rapport. Forskerne var veldig metodiske til eksperimentene, og de brukte hundrevis av forsøkspersoner for å sikre at dataene deres nøyaktig representerer måten folk bruker systemet. Dessverre, hvis deres funn er noe å gå etter, vil sannsynligvis ikke Knock Codes erstatte passord snart.
Folk var altfor forutsigbare da de ble bedt om å opprette bankkoder som skal beskytte dataene deres. Fire enkle koder sto for omtrent 18% av alle kodene som ble opprettet under studien, og selv om LGs annonser sier at det er titusenvis av forskjellige kombinasjoner, utgjorde de tretti mest populære sekvensene hele 42% av de opprettede bankkodene.
Hvor lett de er å gjette er åpenbart avhengig av en rekke forskjellige faktorer, men forskerne anslår at i gjennomsnitt potensielle angripere ikke vil trenge at mange forsøk på å lykkes med å knekke en telefon sikret med en Knock Code. I følge studien kunne rundt 51% av Knock-kodene bli sprukket med tretti gjetninger eller mindre, noe som er betydelig mer enn de estimerte prisene for firesifrede og 6-sifrede PIN-koder og passord.
Vil et oppdatert Knock Codes-system løse problemet?
Noen av dere tror kanskje at hvis brukere har et større rutenett med ruter når de lager sine bankkoder, vil de ha flere kombinasjoner å spille med og vil derfor være mindre sannsynlig å velge de samme. Det viser seg at dette ikke er tilfelle. Noen av deltakerne fikk presentert et 2x3 rutenett, men etter at forskerne kjørte bankkodene sine gjennom et simulert angrep, oppdaget de at sammenlignet med 2x2 koder, kunne en litt større del av 2x3 koder gjettes innen en rimelig tidsramme.
Meninger er delte om brukbarheten til Knock Codes
Disse angrepene ble åpenbart utført under kontrollerte forhold. Før du trekker noen konklusjoner fra forskningen, må du se på trusselmodellen din og se hvor sannsynlig du vil bli målrettet av lignende brute-force forsøk i den virkelige verden.
Mange mennesker oppfatter ikke dette som mye av en trussel, og på grunn av dette beskrev ganske mange av deltakerne i undersøkelsen Knock Codes 'sikkerhet som tilstrekkelig. Når det gjaldt brukervennlighet, var imidlertid ting mye mer delt.
Cirka 20% av deltakerne kunne ikke huske bankkodene sine bare ti minutter etter at de hadde opprettet dem, noe som viser at folk fortsatt ikke er helt vant til ideen. Så igjen, som vi allerede har nevnt, et ikke-ubetydelig antall brukere som allerede har tatt i bruk systemet, og det er helt klart at de representerer et levedyktig alternativ.
Til syvende og sist gjorde LG en feil da den brukte uttrykket "perfekt sikkerhet" i annonsene sine. Knock Codes kan ikke tilby perfekt sikkerhet, og i de fleste tilfeller kan de ikke en gang matche de tradisjonelle PIN-koder og passord på den fronten. For noen kan de imidlertid tilby et raskt og intuitivt alternativ for å låse opp en enhet. Hvorvidt du er en av disse menneskene, må du bestemme.
