Quanto è sicuro iOS Touch ID?

Naviga le tue risposte
0

Mi chiedevo quanto fosse sicuro Touch ID / Keychain. La mia comprensione è che i dispositivi iPhone 5S che utilizzano Touch ID ti consentono di inserire un passcode se la tua impronta digitale non funziona, come una "riserva". Ora, con iOS8, Touch ID viene offerto alle app come modo per gli utenti di autenticarsi.

Ma ... mi sembra che questo sia molto meno sicuro di quello che molte app hanno attualmente. In pratica dice che è possibile utilizzare il passcode del dispositivo anziché una password dell'app (che è memorizzata nel portachiavi). Poiché molti utenti impostano solo codici di accesso dispositivo a quattro cifre, è sufficiente provare fino a 9999 numeri e quindi non solo il dispositivo, ma anche applicazioni come il banking (se utilizzano l'API Touch ID) .

Inoltre, se il dispositivo viene rubato e jailbroken, con solo un passcode di quattro cifre, un hacker può ottenere gli elementi portachiavi per tutte le mie app? Questo sembra un grosso rischio.

Mi manca qualcosa?

Non sarebbe meglio se il "fallback" di TouchID fosse una password complessa, invece di un codice a quattro cifre?

    
posta Darren 11.06.2014 - 03:35
fonte

3 risposte

4

Questo non è il caso. iOS 8 consente l'uso di Touch ID per le app, ma il "fallback" per l'ID touch in termini di app è la vera password dell'app. il codice a 4 cifre viene utilizzato solo se l'ID touch non riesce a sbloccare il telefono

su una nota a margine, alcune app come i servizi bancari possono quasi sicuramente scegliere di non consentire touch ID per l'app stessa o anche funzioni ad alto rischio all'interno della app, ad esempio transazioni finanziarie.

    
risposta data 11.06.2014 - 09:16
fonte
3

Ti mancano tre cose:

  1. Le app di terze parti non devono utilizzare TouchID se non lo desiderano.
  2. Un PIN di 4 cifre è debole solo se l'attaccante può effettuare un attacco offline. Stai descrivendo un attacco online, in cui l'autore dell'attacco è seduto sul dispositivo che immette i codici PIN. IOS noterà i codici errati ripetuti e prenderà provvedimenti. Di default dopo ogni decima password errata si disabilita per un periodo di tempo; per maggiore sicurezza si può dire di cancellarsi invece. vedere il PIN di 4 cifre sulla tua carta di credito.
  3. IOS consente già di avere una password complessa invece di un PIN di 4 cifre, se lo desideri. Basta disattivare "Simple Password" nelle impostazioni.
risposta data 11.06.2014 - 13:10
fonte
1

C'è ancora il problema di prendere l'impronta digitale del telefono (ad esempio display) e copiarlo su un dito artificiale per ingannare Touch-ID. Questo è già stato dimostrato con poco sforzo usando la colla standard (vedi qui come esempio: link ).

Quindi, per un iPhone rubato, questo è un vero rischio per la sicurezza quando puoi autenticarti con Touch-ID su un iPhone offline. Ci dovrebbe essere un'opzione di sicurezza, che Touch-ID potrebbe funzionare solo se il telefono è attivamente connesso a Internet, in modo che il telefono possa essere protetto da una cancellazione remota o qualche altra forma di kill-switch remoto tramite iCloud (e forse anche essere localizzato).

    
risposta data 22.09.2014 - 14:28
fonte

Leggi altre domande sui tag

Calcoli SSL temprati per Nginx come origine personalizzata AWS / Cloudfront Password e nome utente utilizzati per connettersi al database nel codice sorgente [duplicato]