Le password per l'iPhone "connettono i punti" sono sicure?

6

Un modo popolare per accedere a iPhone e altri telefoni consiste nell'utilizzare una password "connetti i punti". Per chi non lo conosce, sembra qualcosa del genere:

Questo tipo di password è protetto dall'attacco a forza bruta (sto escludendo cose come l'ingegneria sociale e sto semplicemente guardando oltre le loro spalle)? Nota che questa domanda si concentra solo sull'autenticazione, non sull'iPhone stesso che viene violato

    
posta TheLQ 11.08.2011 - 23:36
fonte

4 risposte

10

È un modo semplice per mantenere onesti le persone oneste, ma non fare affidamento su di esse per fermare un determinato aggressore.

Non è nemmeno sicuro di tenerlo alla luce e cercare macchie.

Osservando i pattern di sbavature, puoi capire alcuni lati coinvolti che riducono lo spazio di ricerca in modo significativamente migliore rispetto alla forza bruta.

C'è una pausa incorporata dopo un controllo fallito che però offre una certa protezione.

    
risposta data 11.08.2011 - 23:44
fonte
6

Livello di sicurezza approssimativamente uguale a un lucchetto a combinazione a tre chiavette.

vale a dire. Un bambino di 10 anni potrebbe hackerarlo.

La mia esperienza con Android connette la sicurezza dei punti, non con iPhone, quindi YMMV.

Come altri hanno detto:

  • Macchie sullo schermo possono essere seguite.
  • L'entropia interessata è ragionevolmente piccola.
  • Di solito un sacco di falsi negativi nell'inserimento del codice (la mia esperienza con un telefono a basso consumo)
  • Se un utente malintenzionato ha un accesso a lungo termine al telefono, può tentare molte volte di aumentare i timeout.
  • La spallatura è notevolmente più semplice

Calcolo di Entropia approssimativo:

  • 9 punti iniziali. ogni punto ha da 2 a 4 neighbour angolati a destra (probabilmente scelta).
  • ogni punto ha da 1 a 4 45 gradi vicini (meno probabilità di farlo) essere usato).
  • Da 4-7 punti nelle normali password.
  • I punti non possono essere riutilizzati.

Conclusione:  - Informazioni su un migliaio di password di swipe a 6 caratteri comuni.  - Mezzo milione di combinazioni (430029) tra 1 e 9 punti.

    
risposta data 12.08.2011 - 02:21
fonte
4

Come altri hanno già accennato, guardando i segni delle macchie, è spesso possibile capire il codice di accesso. Per una valutazione approfondita di questo rischio, consultare il seguente documento di ricerca:

Adam J. Aviv, Katherine Gibson, Evan Mossop, Matt Blaze e Jonathan M. Smith, Sbavate gli attacchi sui touch screen per smartphone , WOOT 2010.

Mostrano come scattando una foto con una fotocamera digitale tenuta ad angolo rispetto allo schermo, è possibile recuperare la maggior parte del pattern. Sorprendentemente, hanno scoperto che è possibile recuperare il pattern anche se l'utente ha messo il telefono in tasca: si potrebbe pensare che questo cancellerebbe le impronte digitali, ma non è così. In effetti, hanno persino fatto esperimenti in cui hanno cancellato lo schermo del telefono con un panno dopo aver inserito il loro modello, e hanno scoperto che erano ancora in grado di recuperare il modello di password.

(Incidentalmente, forniscono anche un calcolo del numero di possibili pattern di password: 389.112 pattern, ma mostrano che con un'immagine del pattern di sfumatura, questo spesso può essere ridotto a solo 1 o 2 possibilità.)

Il documento è un tour-de-force, e vale la pena leggerlo. Anche solo guardare le immagini e le figure ti darà un'idea di quanto sia sorprendentemente efficace l'attacco.

    
risposta data 12.08.2011 - 21:48
fonte
1

Supponiamo che devi solo selezionare i punti nell'ordine corretto. Ciò offrirebbe 362880 possibilità.

Tuttavia, è più probabile che sia possibile connettere ogni punto con più altri punti. Ciò offrirebbe le possibilità di 51998697814228992.

Ora non sono esperto in telefoni o iWhatevers, ma un ladro può probabilmente guardare solo i dati memorizzati sul telefono. A meno che non sia crittografato e / o protetto da hardware, naturalmente.

Quindi, se il ladro non riesce a estrarre i dati o il ladro non ha abbastanza tempo per eseguire tale acrobazia, il thi come notato da Mike Samuel, il ladro può guardare le impronte digitali sul display. Consiglierei di bloccare il telefono dopo tre tentativi falliti. Sembra radicale, ma è la soluzione migliore se vuoi che il metodo della password sia sicuro.

    
risposta data 12.08.2011 - 00:11
fonte

Leggi altre domande sui tag