Không nên bảo mật điện thoại bằng hình zích-zắc

Một hình zích-zắc mở khóa điện thoại - Ảnh: BUSINESS INSIDER

Theo báo Independent (Anh), một nghiên cứu mới đây của các nhà khoa học thuộc Học viện Hải quân Mỹ và Đại học Maryland cho biết, khả năng ai đó có thể nhìn qua vai bạn khi bạn đang dùng tay vẽ đường zích-zắc mở khóa thiết bị là rất dễ xảy ra. Chưa kể việc ghi nhớ hình zích-zắc đơn giản hơn nhiều so với nhớ mật khẩu bằng số, chữ số.

Từ đây các nhà nghiên cứu khuyến cáo, cái gọi là "các cuộc tấn công lướt qua vai" có nguy cơ trở nên dễ dàng hơn cho những đối tượng xấu lên kế hoạch tấn công.

Tuy nhiên bạn có thể tự bảo vệ mình tốt hơn bằng cách chuyển sang dùng mã PIN và tăng độ dài cho mật khẩu của mình từ 4 lên 6 ký tự.

Các nhà nghiên cứu đã mời hơn 1.000 tình nguyện viên tham gia đóng giả làm những đối tượng tấn công thiết bị.

Các tình nguyện viên được yêu cầu ghi nhớ một loạt các phương thức xác thực để mở khóa thiết bị. Trong đó bao gồm các mã PIN gồm 4 và 6 ký tự và các hình zích-zắc có độ dài từ 4 đến 6 điểm nối với nhau bằng cách theo dõi cử chỉ mở khóa thiết bị qua vai người dùng từ nhiều góc độ.

Thiết bị di động được sử dụng trong nghiên cứu là một chiếc Nexus 5 của hãng LG có màn hình 5 inch và một chiếc OnePlus One của hãng One Plus có màn hình 6 inch.

Đây là hai mẫu smartphone mà theo các nhà nghiên cứu "có các đặc điểm tương đương với nhiều loại màn hình và các yếu tố hình dáng với các điện thoại thông minh trên thị trường hiện nay bao gồm cả Android và iPhone".

Các nhà nghiên cứu cũng đã cân nhắc tới các góc nhìn của đối tượng tấn công và hai tư thế cầm điện thoại của người dùng, hoặc cầm điện thoại bằng một tay và dùng ngón cái lướt hoặc cầm bằng hai tay và dùng ngón trỏ lướt.

Theo đó nghiên cứu nhận thấy các hình zích-zắc có độ dài nối giữa 4 điểm với đường nối dễ thấy sẽ bị "bẻ khóa" bằng động tác "tấn công qua vai" dễ hơn bất cứ dạng thức xác thực mở khóa nào khác họ đã thử nghiệm.

Báo cáo nghiên cứu nêu nhận định: "Chúng tôi nhận thấy các mã PIN là biện pháp bảo mật khó vượt qua nhất với các dạng thức "tấn công qua vai". Và mặc dù các kiểu đường zích-zắc đều có độ bảo mật kém, nhưng những đường zích-zắc không theo đường thẳng sẽ giúp tăng độ bảo mật cao hơn".

Bên cạnh đó, báo cáo lưu ý: "Độ dài của mật khẩu cũng có tác động tới mức độ bảo mật; mật khẩu xác thực càng dài thì độ bảo mật chống kiểu tấn công qua vai càng cao. Cùng với đó, nếu kẻ tấn công có được nhiều góc nhìn về cách thực hiện thao tác xác thực, hành vi tấn công của chúng càng hiệu quả".

Ảnh: INDEPENDENT

Trong các thử nghiệm nghiên cứu, 10,8% mã PIN 6 ký tự đã bị "bẻ khóa" sau một lần quan sát. Tỉ lệ này tăng lên 26,5% sau 2 lần quan sát.

Trong khi đó có tới 64,2% các đường zích-zắc nối 6 điểm với các đường vạch thẳng đã bị dò ra chỉ sau 1 lần quan sát. Tỉ lệ này tăng lên 79,9% sau 2 lần quan sát.

35,3% số đường zích-zắc nối 6 điểm không gồm đường vạch thẳng bị đối tượng trong vai tấn công phát hiện sau 1 lần quan sát. Tỉ lệ này tăng lên 52,1% sau 2 lần quan sát.

Các hình zích-zắc ngắn hơn thậm chí còn có nguy cơ bị phát hiện nhanh hơn, các nhà nghiên cứu khuyến cáo. Cũng theo họ ngay cả những người sử dụng công nghệ nhận biết vân tay hay nhận diện để mở khóa cũng cần lưu tâm tới các phát hiện này.

Báo cáo nêu: "Sinh trắc học là một thành tựu tiến bộ hứa hẹn trong công nghệ xác thực di động, tuy nhiên chúng có thể được xem là phương tiện tái xác thực hoặc xác thực thứ hai vì người dùng vẫn cần có một mã PIN hoặc một hình zích-zắc để truy cập thường xuyên hơn vì những ảnh hưởng của môi trường, như tay ướt chẳng hạn".

Trong một nghiên cứu độc lập khác công bố hồi đầu năm any, phần lớn các hình zích-zắc đều có thể bị "bẻ khóa" chỉ trong khoảng 5 lần dò đoán.