Domanda:
Indovinare la password del touch screen tramite impronta digitale
Lex
2013-05-16 18:09:00 UTC
view on stackexchange narkive permalink

Dopo aver mangiato del pane all'aglio da un'amica che non è a conoscenza della sicurezza, è riuscita a determinare rapidamente il codice PIN per sbloccare lo schermo del mio Samsung SIII.

Lei ho capito questo semplicemente tenendo il dispositivo in controluce e guardando lo schema di grasso che il mio pollice ha lasciato sullo schermo. Le ci sono voluti solo 2 tentativi per sbloccare lo schermo.

Immagino che non sarebbe stata in grado di accedere al mio telefono se avessi mantenuto lo schermo più pulito o se il dispositivo potesse essere sbloccato solo premendo i numeri, invece di trascinare il dito per formare una sequenza.

È un mezzo di attacco comune? Le password del pattern di trascinamento del dito sono davvero più insicure delle password del tocco numerico?

Avere uno schema complesso potrebbe dare più protezione ... avere solo una linea semplice o una forma quadrata riduce le possibilità di forzatura bruta. quindi quindi avere un motivo come il segno dell'infinito è una buona idea penso
Grazie per la condivisione, è sempre bello vedere come la sicurezza a volte possa essere sconfitta quasi per sbaglio.
@HSN. Buon punto, soprattutto perché diventa più difficile rintracciare da dove parte il modello. Anche se non sono sicuro di quanto questo possa effettivamente dissuadere qualcuno dall'indovinare perché non esiste una cosa come il blocco dell'account per più tentativi falliti.
"La mia tastiera di sicurezza sarà in realtà uno scanner di impronte digitali. Chiunque guardi qualcuno che preme una sequenza di pulsanti o spolvera il pad per rilevare le impronte digitali e successivamente tenta di entrare ripetendo quella sequenza attiverà il sistema di allarme". - Evil Overlord List
Il mio bambino di 8 anni ha fatto la stessa cosa con il mio SIII; Sono tornato frettolosamente a un PIN ;-)
Il mio Galaxy * è stato * rubato e il tizio che l'ha rubato * è * entrato nel mio telefono esattamente in questo modo. Fortunatamente, non è riuscito a fare ulteriori danni prima che cambiassi le mie password di Google.
Correlati: ho provato un modello di accesso per il mio dispositivo Android, ma presto sono tornato a un PIN, non a causa di macchie ma perché era molto più facile per un surfista spalla (i nostri figli) vedere e ricordare una forma rispetto a una serie di tocchi su un tastierino numerico.
Se ricordo bene, in alcuni giochi, come Splinter Cell, è stato utilizzato un attacco di sbavatura sulla serratura di sicurezza della porta per consentire al protagonista di accedere: ho dovuto attendere che il bodygoard inserisse il codice e passasse attraverso la porta, quindi con l'uso della torcia ho è stato in grado di capirlo in tre tentativi.
Perché è stata apportata una modifica recente a questa domanda? Ho esaminato le modifiche e mi sembra inutile e una questione di preferenza stilistica rispetto a fornire effettivamente qualcosa di nuovo qui.
@Frank B Hmmm, non ho idea del perché abbia deciso di cambiarlo. Anche se mi ha tolto di dosso la mia goffa sintassi e il mio affascinante estraneo semantico, devo ammetterlo: è meglio.
Un altro motivo per concentrarti sul cibo mentre mangi, invece di giocare con Instagram!
Per inciso, questo "attacco" può funzionare abbastanza bene anche su tastiere fisiche il cui codice non viene modificato regolarmente. Dove vivevo, era abbastanza facile vedere quali quattro tasti sulla tastiera del codice di accesso erano usati, il che lascia solo 24 possibili ipotesi alla forza bruta.
Sette risposte:
#1
+62
NULLZ
2013-05-16 18:20:33 UTC
view on stackexchange narkive permalink

Questo è noto come "Attacco sfumino"

Dipende molto da quanto hai usato il tuo telefono dall'ultima volta che l'hai sbloccato, ma il principio generale è ancora valido. Se utilizzi la funzione pattern dei telefoni Android, ciò può essere particolarmente ovvio.

L'Università della Pennsylvania ha pubblicato un documento di ricerca sull'argomento e fondamentalmente ha concluso che potevano capire il password oltre il 90 percento delle volte.

Lo studio ha anche scoperto che le "macchie di pattern", che si accumulano scrivendo la stessa password numerose volte, sono particolarmente riconoscibili.

Inoltre:

"Abbiamo dimostrato che in molte situazioni è possibile il recupero totale o parziale del motivo, anche con il" rumore "di sbavature derivante dall'uso simulato dell'applicazione o la distorsione causata dal contatto accidentale con gli indumenti",

Anche se questo è un rischio plausibile, non si tratta di una vulnerabilità particolarmente pratica in quanto un utente malintenzionato necessita di un accesso fisico al telefono. L'utilizzo di un codice PIN su una sequenza può ridurre la possibilità che ciò rappresenti una minaccia, ma esiste ancora a seconda della forza del PIN e della pulizia delle mani / dello schermo. Tuttavia, questi stessi ricercatori postulano un altro possibile attacco utilizzando il residuo di calore lasciato dal contatto tra le dita e lo schermo che sarebbe un altro problema.

Ovviamente, pulire lo schermo dopo ogni utilizzo è una pratica (e non troppo difficile) difesa contro questo specifico attacco. Mi aspetto che se hai usato il tuo telefono (ad esempio per effettuare chiamate / inviare un messaggio / qualsiasi tipo di navigazione sul Web), offuserebbe anche sufficientemente i modelli / codici. Dall'esame del mio schermo questo sembra essere il caso.

Nessun problema. Ricordo abbastanza bene questo attacco da questo documento di ricerca. Come risultato @AJHenderson pulisce spesso il mio schermo :)
"90 percento", questo è preoccupante. Ed è interessante: significa anche che i modelli della maggior parte delle persone probabilmente non sono molto complessi e quindi forzabili.
@Luc Ho visto due modelli che sono quasi non replicabili anche quando mi è stato detto il codice. Puoi effettivamente ottenere tra i punti per i codici del modello e, di conseguenza, puoi rendere i codici piuttosto complicati ...
@Luc: Penso che sarebbe ridotto se i modelli consentissero che un punto iniziale e uno finale fossero uguali, aumentando così il numero di possibili modelli per traccia di sfumino da 2 (avanti-indietro) a 2 (N-1). Inutile dire che ... non sorpreso.
"Ovviamente pulire lo schermo dopo ogni utilizzo è una difesa pratica (e non difficile) contro questo specifico attacco" ... soprattutto dopo il pane all'aglio.
Si noti che il rischio di attacco di macchie varia anche con il tipo di copertura del dispositivo. Alcuni dispositivi hanno coperture che contattano lo schermo offuscando efficacemente i residui
@SébastienRenauld; Non sono sicuro di come ragiona qui. Data una traccia di sbavature è abbastanza facilmente rilevabile dove sono i punti di inizio / fine. Se si sovrappongono, sarebbero comunque necessari solo due tentativi, anche per cerchi e forme simili. Tieni inoltre presente che con gli attacchi di sbavature è persino possibile dire la direzione in cui è stato effettuato lo swipe portando ad una singola prova che sarebbe sufficiente, dato che la traccia di sbavatura è abbastanza chiara.
@Mythio: Dipende dal dito dell'individuo. Ho tracce quasi indiscernibili sul mio TF300T a causa delle dita naturalmente * molto * unte. Tuttavia, sono solo io. Il mio punto era principalmente un punto laterale: potevano aggiungere un paio di multipli nei modelli consentendo le sovrapposizioni.
Sfido anche chiunque a togliere il codice sbavato dal mio telefono dopo che è stato in tasca accanto alle mie palle sudate per alcune ore ...
la randomizzazione delle posizioni delle chiavi di immissione della password sullo schermo risolverebbe questo problema, sebbene renderebbe l'inserimento della password un po 'più complicato.
#2
+40
Adi
2013-05-16 18:42:20 UTC
view on stackexchange narkive permalink

Un modo per mitigare gli attacchi di sbavature sugli smartphone è con un'applicazione chiamata WhisperCore. Dispone i numeri verticalmente e poi ti chiede di pulire lo schermo per sbloccare il telefono, offuscando le macchie originali.

enter image description here

Se usi una sequenza per bloccare il telefono, dopo aver inserito la sequenza corretta, appare una schermata piena di stelle. Fai scorrere le stelle evidenziate per sbloccare il telefono, offuscando di nuovo il motivo di sbavature originale.

enter image description here

Ovviamente, l'applicazione funziona fondamentalmente come un promemoria obbligatorio per pulire lo schermo, ma lo fa in un modo che rende meno fastidioso pulire lo schermo ogni volta che sblocchi il telefono.

Fonte immagine: Polizia Android

Personalmente ho avuto molti problemi con WhisperCore e gli strumenti associati. Ho provato a farlo funzionare su diversi dispositivi Android alcuni mesi fa senza alcun risultato. Le cose potrebbero essere diverse ora, tuttavia.
Bello vedere che qualcuno ha già fatto la domanda che ho suggerito nella mia risposta. Dovrò verificarlo.
Aspetta un secondo. Perché non mescolare semplicemente i numeri sulla prima schermata e poi chiedere di inserire un PIN? Quindi non è necessario il secondo schermo che richiede una cancellazione.
@ClaytonStanley Perché noi, esseri umani, facciamo schifo nel ricordare combinazioni insignificanti di lettere e numeri. Ecco perché dopo aver usato il telefono per un paio di settimane interrompi _attualmente_ la digitazione del PIN e inizi a eseguire una serie di tocchi sullo schermo che i tuoi muscoli hanno "ricordato". Lo stesso accade con la password del tuo sistema operativo, perché la digiti più volte al giorno, fai solo rapidi colpi sulla tastiera senza pensare ai caratteri effettivi della tua password. Ora immagina se qualcuno ha cambiato le impostazioni del layout della tua tastiera (layout tedesco o nordico di Google).
@Adnan Parla per te. Anche con password comuni a lungo termine le inserisco ripetendo lo mnemonico che ho memorizzato al posto di qualcosa come "ASfy # wcltp13tbrtMIM". Dover cercare / beccare su una tastiera Qwertz / Azerty / Dvorak / ecc mi rallenterebbe; ma quello che memorizzo non sono le posizioni dei tasti.
@DanNeely Non devo, la scienza parla per me. È inevitabile, che tu ci creda o no, compiti ripetitivi creano nuove connessioni nel tuo cervello. Combinato con un processo chiamato "apprendimento implicito", impari come andare in bicicletta, come guidare un'auto, arti marziali, la posizione dell'interruttore della luce quando entri in una stanza buia della tua casa e la tua password. La norma con password complesse è la memoria muscolare, l'eccezione sono le persone come te (questo è, ovviamente, per non vedere che dimentichiamo completamente le nostre password). http://bit.ly/NZDMbQ, http://bit.ly/184ztVn, http://bit.ly/13zMyFf.
Sì, uso la memoria muscolare per la maggior parte delle mie password, specialmente quelle lunghe. In effetti per alcuni su PC so di averli digitati correttamente a causa del rumore!
@RoryAlsop Lo stesso qui. Non riesco a recitare molte password e nemmeno a riconoscerle di vista. Memoria muscolare fino in fondo. Vederli per la prima volta è come "Oh, ecco cosa ha tenuto al sicuro il mio account negli ultimi mesi ... aspetta di toglierlo dallo schermo prima di ricordarmelo!"
#3
+14
Rory Alsop
2013-05-17 00:53:55 UTC
view on stackexchange narkive permalink

C'era un documento (proverò a trovarlo) che forniva un'ottima spiegazione di un miglioramento della sicurezza:

Utilizzando una delle cifre almeno due volte, in un codice di accesso di più di 4 cifre

Fondamentalmente, l'opzione "scorri un motivo" è molto facile da vedere - anche a distanza può essere percorsa a spalla. Dai un'occhiata a questo documento per alcune informazioni interessanti sulle tecniche.

Un pin a 4 cifre è ciò che la maggior parte degli utenti sceglie, se utilizza il opzione pin, quindi è ciò che proverà la maggior parte degli aggressori e tenere il telefono in controluce ti consente di vedere il pin abbastanza chiaramente. Se tuttavia hai un pin a 6 cifre in cui 2 delle cifre vengono utilizzate due volte, lo spazio di attacco diventa piuttosto impegnativo, poiché l'attaccante non sa se usi un pin a 4 cifre, un 5 o anche di più - è probabile che inizi con un 4 e hanno maggiori probabilità di bloccare il telefono che di entrarci.

#4
+12
Gary S. Weaver
2013-05-17 00:13:30 UTC
view on stackexchange narkive permalink

Questa sarebbe una buona ragione per un altro metodo di sblocco che rendesse ogni volta diversa l'azione di sblocco. Ad esempio, invece di disporre i numeri 0-9 come:

  7 8 94 5 61 2 3 0  

potrebbe visualizzarli come:

  3 5 71 2 46 9 0 8  

Invece di numeri, potresti usare forme. Invece di colpire semplicemente le forme oi numeri, potresti riorganizzarli nel modello corretto, anche se ciò sarebbe meno sicuro in quanto visualizzerebbe il modello corretto immediatamente prima che venga sbloccato; Tuttavia, se l'obiettivo fosse mettere i numeri nella matrice in un ordine in cui le somme, ecc. Di determinate righe fossero corrette, ciò potrebbe essere ancora più sicuro / meno ovvio per coloro che ti hanno visto o registrato mentre eseguivi la sequenza di sblocco.

Forse per i soli ipovedenti, potrebbe leggere i numeri ad alta voce (attraverso le cuffie). Per coloro che sono ipovedenti e ipoudenti, il telefono potrebbe vibrare in un certo modo quando toccano parti diverse del telefono per determinare quale numero è quale, quindi toccano qualcosa una volta che sanno quale numero è dove inserire il codice. Potresti anche fare in modo che blocchi i numeri in un certo orientamento e cambino solo su un programma predeterminato per rendere meno difficile dover ricordare il nuovo orientamento, o addirittura bloccarlo completamente, anche se ciò sarebbe suscettibile di attacchi di macchie.

Mi piace questa idea, ma potrebbe ridurre l'usabilità per gli utenti con disabilità. Potrebbe anche essere problematico per password lunghe o alfabeti di input più grandi. Fare in modo che questo sia opzionale con l'attivazione predefinita sembra una buona funzionalità.
Non sarebbe giusto averli più suscettibili agli attacchi. Aggiornerò la mia risposta, grazie.
+1 per come questo potrebbe funzionare per le persone con disabilità.
Ci sono alcune aziende che realizzano tastiere con LED nei tasti che fanno esattamente quello che hai descritto. La prima volta che ne ho visto uno è stato negli anni '90, quindi non è una novità. Ho un amico che ha fondato una società (ormai defunta) chiamata GrIDSure che, ispirandosi a quelle serrature, aveva un sistema in cui il tuo PIN era un pattern e la randomizzazione della tastiera servita lo trasformava in una OTP.
Cyanogenmod ha effettivamente questa caratteristica in cui il layout dei numeri è randomizzato ogni volta. Purtroppo ci vuole molto più tempo per inserire il pin ..
#5
+10
AJ Henderson
2013-05-16 18:22:45 UTC
view on stackexchange narkive permalink

Io per primo ho sempre cancellato il mio schermo sulla mia maglietta dopo averla sbloccata proprio per questo (e perché trovo fastidiosi i segni di scorrimento delle dita). almeno continua a usarlo per un po 'per rovinare i segni.

Un codice pin potrebbe aiutare alcuni, ma potresti comunque essere in grado di vedere i punti toccati che ridurrebbe notevolmente la complessità di indovinare la password . È comunque una buona idea pulire lo schermo se ci sono segni visibili.

Un altro buon contatore per questo sarebbe se aggiungessero un secondo passaggio veloce per tracciare un altro modello che renderebbe più difficile riconoscere il modello prima dello sblocco .

Se disponibile, una schermata di sblocco del pinpad che randomizzava il layout del numero ogni volta avrebbe sconfitto un attacco di macchie. Dove lavoro io, i badgereaders lo fanno; ci vuole solo uno o due secondi in più per trovare dove sono i numeri questa volta e digitare il pin a 6 cifre. OTOH se tutto ciò che hai è un pin di lunghezza standard, un utente malintenzionato potrebbe utilizzare strumenti di forza bruta per entrare e sospetto che un layout criptato sarebbe un impedimento molto più grande su una tastiera alfabetica se invece dovessi inserire una password.
Qualcuno deve vendere una linea di camicie con cuscinetti in microfibra incorporati per pulire gli schermi dei dispositivi mobili. :-)
@LarsH - forse potrebbero renderlo come il piccolo tag con le informazioni sul prodotto, potresti semplicemente capovolgerlo, usarlo e poi metterlo via. Oppure potremmo riportarlo indossando un fazzoletto nel taschino della giacca, ma invece avere un panno in microfibra. ;)
#6
+7
jerry
2013-05-17 00:27:10 UTC
view on stackexchange narkive permalink

Ho cancellato lo schermo ogni volta che lo accendo per un po 'di tempo. È in parte dovuto a questo problema e in parte per aumentare la leggibilità in presenza di abbagliamento. Ero molto interessato a scoprire che esiste una vera ricerca sull'argomento.

Anche se i touch screen sono particolarmente inclini al problema dei residui fisici che rivelano informazioni segrete (nonostante i miglioramenti che sono stati apportati allo schermo oleorepellente rivestimenti), il problema può verificarsi anche con altri metodi di immissione . Le impronte digitali possono essere visibili sulla superficie di pulsanti, interruttori o tastiere (hardware), anche senza l'uso di apparecchiature specializzate.

Anche se vengono cancellate, tuttavia, c'è un problema più permanente. Sono sicuro che tutti abbiamo visto del testo che è stato cancellato, della membrana che si è strappata o della placcatura che si sta consumando su un pulsante usato di frequente:

worn keypad

In un contesto di sicurezza, questo tipo di problema probabilmente significa che la password non viene cambiata abbastanza spesso, ma ne ho visti esempi reali. Ovviamente deve essere cambiato prima che questo degrado diventi visibile ad occhio nudo. In impostazioni di sicurezza più elevate, tuttavia, probabilmente non è sufficiente. Due possibili rimedi sono utilizzare pulsanti molto resistenti e uniformare il numero di pressioni di ogni pulsante prima o dopo aver inserito la password.

#7
+4
dr jimbob
2013-05-17 00:19:39 UTC
view on stackexchange narkive permalink

Uso tutte e dieci le cifre esattamente una volta in un pin a dieci cifre sul mio tablet, rispetto a uno schema. Inoltre, non conservo nulla di particolare valore sul mio tablet (l'unico motivo per cui la password è presente poiché un PIN è obbligatorio per salvare i dettagli della configurazione VPN con Android, esclusa la password utente).

Nota: l'uso di una permutazione di tutte e dieci le cifre esattamente una volta riduce in modo significativo l'entropia. Il # di permutazioni: 10! = 3628 800, che equivale all'incirca a un pin lungo 6,56 caratteri, o circa 3000 volte più semplice di un pin casuale a 10 cifre.

Inoltre, trovo abbastanza facile intercettare un PIN su un touchpad quando uso il mio tablet per recarmi in metropolitana, ma trovo che questa sia una ragionevole difesa contro gli attacchi di sbavature.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...