Android OSのパターンロック認証はアルファベット3文字程度のセキュリティ

Androidスマートフォンのロック画面の解除方法にはパスワードやPINコードの入力に加えて、9つのドットをなぞっていく「パターン」があります。しかし、このパターンによる認証のセキュリティは高そうで高くなく、かといって低いのかというと低くもないようです。

delight-im/AndroidPatternLock · GitHub
https://github.com/delight-im/AndroidPatternLock

世界中の人々に自分のソフトウェアのプログラムコードやデザインデータを公開し共有できるサービスGitHubに、Android OSのパターン認証全リストなるものが公開されています。パターンリストを作成したのはdelight.imで、パターンロック認証で使われるドットに1から9までの番号を振り、ドットをなぞる順序を数字で羅列することでパターンを文字化しています。

例えば、下の様なパターンなら「2486」という数字で表現されます。

Android OSのパターンでは、最低4個のドットを結ぶこと、一つのドットは1回しか結べないこと(ただし、上を通過することは可能)というルールがあり、このルールの下でパターンは作成する必要があります。

以上のルールにしたがって、Android OSの全パターンを網羅したリストがこれ。テキストファイルですが3.32MBあるので、開くときには注意。

https://raw.githubusercontent.com/delight-im/AndroidPatternLock/master/OUTPUT.txt

9つのドットを全部使ったパターンも、リストにもれなく記載されています。一見複雑に見えるパターンも……

この通り、リストにバッチリ掲載されています。

delight.imによるとパターンの数は14万704通りで、これは、大文字・小文字の区別をしたアルファベット3文字の組み合わせが14万608通りであることからほぼ同じ数。つまり、Android OSのパターン認証は、アルファベット3文字のパスワードと同等のセキュリティレベルというわけです。

しかし、Android OSのパターンロック認証ではパターンを何度も間違えるとGoogleアカウントの登録メールアドレス・パスワードの入力を求められることから、ロックを破るために総当たり的アタックを仕掛けることは不可能で、FBIすらパターンロック認証を解除できなかったというほど、セキュリティレベルは高いことが知られています。