Perché i dispositivi mobili obbligano l'utente a digitare la password dopo il riavvio?

61

Al giorno d'oggi, molti telefoni cellulari hanno supportato lo sblocco tramite il riconoscimento delle impronte digitali. Tuttavia, sia iOS che Android richiedono agli utenti di inserire la password dopo il riavvio del dispositivo, anche se viene fornita un'impronta digitale autorizzata.

La mia domanda è: perché?

    
posta nalzok 20.08.2016 - 12:19
fonte

4 risposte

80

Per prima cosa:

  • password viene utilizzata per ottenere l'accesso alla chiave di crittografia dell'intero disco
  • impronta digitale viene utilizzata per sbloccare lo schermo (di un dispositivo già "decrittografato")

Il recupero della chiave di crittografia deve essere:

  • accurate - su ogni voce, il dispositivo deve trasformare la password tramite una funzione di derivazione della chiave nell'unica chiave di crittografia corretta, altrimenti il dispositivo non sarà in grado di decodificare i dati
  • sicuro - derivato da una funzione unidirezionale, non "sbloccato" confrontando i dati forniti da un utente con un modello memorizzato sul dispositivo

Il riconoscimento delle impronte digitali non soddisfa i requisiti di cui sopra, è:

  • fuzzy - ad ogni pressione il sensore fornisce al dispositivo un'immagine approssimativa di una parte di un'impronta digitale che viene abbinata con una certa precisione; a ogni tentativo di verifica i dati effettivi differiscono a causa della diversa posizione, inclinare, premere forza
  • non sicuro - il riconoscimento viene eseguito confrontando l'impronta digitale effettiva con i dati memorizzati sul dispositivo - questi dati devono essere sia leggibili che modificabili che lo rendono vulnerabile a un utente malintenzionato
risposta data 20.08.2016 - 12:41
fonte
42

Perché l'impronta digitale viene utilizzata solo per l'autenticazione, mentre la password viene anche utilizzata per la crittografia e si tratta di processi distinti con requisiti molto diversi.

Come probabilmente sai, la funzione principale di una schermata di blocco è assicurarsi che tu sia la persona che accede al tuo dispositivo. Questa è chiamata autenticazione . Se qualcuno inserisce il pin / password / impronta digitale corretta su una schermata di blocco, il dispositivo sa che quella persona è probabilmente te e ti concede l'accesso al sistema.

Oltre all'autenticazione, la schermata che richiede la password quando si avvia il telefono ha anche uno scopo diverso. I telefoni moderni presentano qualcosa chiamato Crittografia disco . Ciò significa che tutti i dati dell'utente memorizzati sul dispositivo sono protetti da un algoritmo di crittografia.

Quando usi una crittografia del disco correttamente implementata, data solo la memoria del telefono, nessuno può accedere ai tuoi dati, nemmeno il dispositivo stesso! Il tipo di crittografia simmetrica utilizzato per questo scopo utilizza una chiave segreta e questa chiave non viene mai memorizzata dal dispositivo, per motivi di sicurezza. Invece, al dispositivo deve essere indicata la chiave corretta per accedere ai tuoi dati .

Ora, a causa della natura di questo algoritmo, una chiave segreta deve avere alcune proprietà importanti:

  • Deve essere lungo
  • Deve essere esatto . Una chiave quasi esattamente uguale alla chiave segreta è completamente inutile

Purtroppo, risulta che sistemi basati su dati biometrici , come ad esempio un lettore di impronte digitali, non soddisfare queste proprietà . La quantità di informazioni fornite da loro è solitamente piccola e inesatta.

Questo è il motivo per cui è necessario inserire la password: è l'unico meccanismo che sappiamo che soddisfa correttamente i requisiti. Questo viene fatto inserendo la tua password attraverso una funzione di derivazione della chiave .

Dopo l'avvio e la password, il telefono mantiene la chiave di crittografia derivata nella sua memoria volatile , quindi non ha bisogno di richiederlo di nuovo - solo autenticarti. Questo ha alcuni svantaggi, come renderlo vulnerabile a un attacco di avvio a freddo , ma è considerato un buon compromesso tra sicurezza e usabilità

    
risposta data 20.08.2016 - 15:47
fonte
2

AFAIK, al momento dell'avvio è necessario sbloccare la scheda SIM, che richiede una password numerica. Le prossime operazioni consentono di sbloccare lo schermo e per quella parte sono disponibili diversi metodi di autenticazione (non tutti sono implementati su tutti i dispositivi):

  • password numerica o alfanumerica
  • impronte digitali
  • gesto
  • niente (lo schermo è sbloccato semplicemente spostando un dito su di esso)

Tutti questi metodi vengono elaborati direttamente dal telefono, ma il primo viene elaborato dalla stessa scheda SIM e, poiché è molto meno potente del telefono, accetta solo una password numerica. Ovviamente, il telefono potrebbe sicuramente intercettare il codice ma sembrerebbe un uomo nell'attacco intermedio, e né i produttori di telefoni né i fornitori di sistemi operativi hanno voluto implementarlo.

    
risposta data 21.08.2016 - 17:54
fonte
-1

Sebbene le principali preoccupazioni menzionate da altri siano accurate, la precisione e l'accuratezza di una password è molto più alta di un'impronta digitale, penso che valga la pena di menzionare driver e algoritmi.

Vale a dire, la maggior parte del tuo spazio su disco e del codice non sono disponibili finché non hai decodificato l'unità, il codice per leggere e interpretare un'impronta digitale è quasi certamente molto più complesso (grande) del codice leggere una password. Qualsiasi codice che precede la non crittografia è in grado di attaccare e l'aggiunta di quel codice è un rischio per la sicurezza di per sé.

    
risposta data 22.08.2016 - 21:55
fonte

Leggi altre domande sui tag