È sicuro usare un PIN a 4 cifre per la crittografia del sistema Android?

3

Ho appena crittografato il mio telefono Android utilizzando il menu predefinito. Mi è stato chiesto un codice PIN (4 cifre). Pensi che questa sia una buona pratica? C'è un numero limitato di tentativi di decrittografia del filesystem?

Cosa succede se un utente malintenzionato scarica i dati e prova ogni combinazione da 0000 a 9999? (Questo dovrebbe essere possibile in meno di qualche secondo).

    
posta mimipc 13.08.2015 - 19:05
fonte

1 risposta

3

Quanto è sicuro dipenderà da una serie di fattori.

  • Hai attivato il wipe del dispositivo in ipotesi errate. Supponendo che il dispositivo sia impostato per cancellare dopo 10 errori PIN errati, quindi senza indizi e un PIN puramente casuale, un utente malintenzionato ha un colpo di 1/1000 a indovinarlo. Ovviamente la maggior parte degli utenti basa i PIN su cose come date o anni che abbattono un po 'lo spazio delle chiavi.
  • Per la forza bruta offline, dipende da come viene implementata la crittografia. Se è puramente software (come le versioni precedenti di Android), ovviamente c'è il rischio che se l'attaccante può scaricare il filesystem, può forzare la chiave. Nei nuovi dispositivi Android, c'è un elemento hardware che memorizza parte della chiave di crittografia, rendendo poco pratico l'attacco offline di base, senza ulteriori punti deboli.

In generale, consiglierei di aumentare la lunghezza del PIN di almeno 6 caratteri numerici e di non scegliere qualcosa di ovvio (come una data di nascita). Se sei molto preoccupato per la sicurezza, considera l'utilizzo di una password alfanumerica (sebbene questo sia generalmente orribile dal punto di vista dell'usuabilità) e / o assicurati che il tuo dispositivo implementa la crittografia nell'hardware per ridurre il rischio di attacchi offline.

    
risposta data 13.08.2015 - 20:54
fonte

Leggi altre domande sui tag