Attivazione della funzione per accedere non appena viene digitata la password corretta (senza premere invio)

Naviga le tue risposte
2

Il mio telefono ha un'opzione per la schermata di blocco del PIN per sbloccarlo non appena viene inserito il numero corretto (senza premere invio). Ad esempio, se la password è 77912, è sufficiente inserire 77912 e non premere ↵

Che impatto ha questo sulla sicurezza? C'è ancora un infinito pool di password che un utente malintenzionato deve scegliere. È molto meno sicuro e quale dovrebbe essere la lunghezza minima del PIN? Sono preoccupato ora che sto iniziando a utilizzare il mio telefono per il settore bancario.

Un'altra funzionalità interessante che ho abilitato è quella di scramble il layout della tastiera in modo che un utente malintenzionato non possa tentare di indovinare in base alle impronte digitali.

UPDATE: pin deve essere compreso tra 4 e 16 cifre (incluso)

    
posta Celeritas 03.06.2015 - 23:20
fonte

2 risposte

1
What impact does this have on security?

Le tue password sono nel peggiore dei casi l'89% della forza che sarebbero se dovessi premere Invio per primo. Ecco come l'ho calcolato. Supponiamo che la tua password possa essere lunga 1-3 cifre e supponiamo anche che un utente malintenzionato non conosca la lunghezza della tua password. Esistono 1000 combinazioni totali (0-999). Supponiamo che la tua password sia 7. 111 su 1000 password passeranno quel test. (Una cifra singola + 10 2 cifre + 100 3 cifre.) Nel caso peggiore è (1-0.111) = 89% strong quanto costringere qualcuno a premere invio. Se la tua password è 71, 11 su 1000 la superano (il 99% è strong), e se la tua password è 711, 1 su 1000 la supererà (100% più strong). Più cifre aggiungi, più l'89% si ottiene e più si avvicina al 100%. Quindi, in effetti, potremmo dire che l'impatto sulla sicurezza di questa funzione è minimo. Il tempo risparmiato a lungo termine di non dover premere invio è probabilmente la pena. 

Is it much less secure and what is the minimum length of PIN should be?

Se scegli una lunghezza pin di uno in più rispetto a quella che scegli normalmente, hai quasi lo stesso livello di sicurezza. 

I'm concerned now that I'm starting to use my phone for banking.

Non sono sicuro di come sia pertinente. Dovresti comunque utilizzare una password diversa per il settore bancario. Se hai consegnato il tuo telefono sbloccato a un utente malintenzionato, le tue informazioni bancarie dovrebbero essere comunque al sicuro. Se ciò non è vero, forse perché hai le password ricordate da siti bancari o app, allora puoi prendere in considerazione la possibilità di cambiarlo. Non puoi garantire che il tuo telefono sarà bloccato quando l'utente malintenzionato lo prende. (Come se qualcuno che correva per la strada lo strappasse dalla tua mano.)

    
risposta data 04.06.2015 - 00:51
fonte
0

Dipende se il telefono ha una lunghezza PIN minima che non è uguale alla lunghezza massima del PIN. Considera il caso in cui il telefono consente PIN di 4, 5 o 6 cifre e il PIN è 12345. Quando tocchi per la prima volta "1234", stai effettivamente testando un PIN di valore "1234". Quando tocchi "5", stai testando il valore PIN di "12345". Inserendo tutte le cifre, hai effettivamente testato due diversi PIN.

Come utente malintenzionato posso digitare 12340, quindi backspace e digitare 1, backspace e digitare 2, ecc. Verranno testati i PIN dei valori 1234, 12340, 12341, 12342, ecc. tutto senza innescare il flag "troppi tentativi" che potrebbe essere colpito se inserissi 6 cifre. L'unica soluzione di sicurezza in questo schema è garantire che il PIN sia esattamente la lunghezza massima consentita.

Se tutti i PIN devono essere esattamente di 5 cifre, allora è sicuro come qualsiasi numero casuale a 5 cifre con un algoritmo "dieci tentativi e blocchi del telefono", il che significa che c'è una possibilità 1: 1000 che l'attaccante possa indovinarlo (se è veramente casuale.)

    
risposta data 03.06.2015 - 23:52
fonte

Leggi altre domande sui tag

È possibile sfruttare input utente senza escape in un modulo JavaScript che riceve solo i dati tramite la richiesta AJAX? è il certificato x509 firmato da ca valido?