Encontré este vídeo CHM Tech que explica cómo se calcula cuántos patrones de bloqueo diferentes existen para los teléfonos Android, teniendo en cuenta que las reglas más habituales, que son las siguientes:
- El número mínimo de números que hay que conectar es 4.
- Todos los números que se conectan deben ser distintos.
- Si al trazar una línea se pasa sobre un número intermedio, ese punto debe haber sido ya conectado anteriormente.
Según parece el dato apareció por primera vez en el trabajo Smudge Attacks on Smartphone Touch Screens (Ataque mediante análisis de las manchas en las pantallas de teléfonos inteligentes) donde se analizaba la forma un tanto rústica –pero muy efectiva– de desbloquear un móvil simplemente mirando la pantalla al contraluz para atisbar el dibujo del patrón.
Naturalmente la gente no es muy original con sus dibujos de patrones y formas como las letras L, O, N, S y similares son las que se usan habitualmente – el equivalente de usar 1234 como PIN numérico. La investigadora Marte Løge explicó en una conferencia que el 44% de la gente empieza por el 1 (arriba a la izquierda) y la es muy habitual dibujar la letra inicial del nombre propio.
Los cálculos para llegar al número exacto de 389.112 patrones han de tener todas las reglas en cuenta, pero se puede empezar por los grandes números: cuántas combinaciones hay de 4, 5, 6, etc. números sin repetición, todas ellas sumadas. Pero luego hay que eliminar las que no cumplen la tercera regla. Así por ejemplo una secuencia que empiece conectando los números 1236… es válida, pero 1326… es imposible porque no se puede pasar del 1 al 3 –que están en línea recta– sin pasar por el 2. En cambio 4753691… sería válido: de 9 a 1 se pasa por el 5 ya se había pasado previamente por él.
Quienes tengan paciencia pueden ver este vídeo de 12 horas donde se muestran esas 389.112 combinaciones, una por una; los dígitos están numerados del 0 al 8 en vez del 1 al 9 que es lo habitual.
La mayor parte de los teléfonos y tarjetas permiten PINs de 4 dígitos (10.000 combinaciones posibles) pero desde hace tiempo se permiten y recomiendan 6 dígitos (1.000.000 de combinaciones) o incluso más. Se puede decir que un PIN de 6 dígitos bien elegido es más seguro que el dibujo de un patrón – al menos frente a un ataque «por fuerza bruta».
¿Es pues más seguro usar un PIN, un patrón, la huella dactilar o el reconocimiento facial para bloquear el móvil? De momento parece que el PIN sigue ganando, pues el reconocimiento de huellas y rostros tiene sus propios problemas todavía (falsos positivos y falsos negativos) e incluso Google reconoce que no están todavía al mismo nivel de seguridad que un buen PIN.
Relacionado:
