在不了解安全性的朋友那里吃了一些蒜蓉面包后,她设法迅速确定了PIN码,以解锁我的Samsung SIII的屏幕。点亮并看着我的拇指留在屏幕上的润滑脂图案。她只用了2次尝试就解锁了屏幕。

我想如果我保持屏幕清洁,或者只能通过按数字而不是拖动手指形成图案来解锁设备,她将无法访问我的手机。

这是一种常见的攻击手段吗?手指拖动模式密码真的比数字触摸密码更不安全吗?

评论

具有复杂的图案可能会提供更多的保护...仅具有简单的线条或正方形形状可以减少暴力逼迫的可能性。因此,我认为有一个像无穷大符号的图案是一个好主意
感谢您的分享,很高兴看到有时有时会偶然破坏安全性。
@HSN。这很重要,特别是因为很难跟踪模式的起点。尽管我不确定这会在多大程度上阻止人们猜测,因为没有多次失败尝试的帐户锁定之类的事情。
“我的安全键盘实际上是指纹扫描仪。任何观看某人按下某个按钮序列或擦拭键盘上的指纹的人,然后随后通过重复该序列尝试进入,将触发警报系统。” -邪恶霸主名单
我8岁的我对SIII做过同样的事情;我急忙回复了PIN ;-)

#1 楼

这就是所谓的“污迹攻击”

,这实际上取决于您自上次解锁手机以来使用了多少手机,但一般原理仍然有效。如果您使用Android手机的特征码功能,这一点尤其明显。

宾夕法尼亚大学发表了有关该主题的研究论文,并基本得出结论,他们可以找出超过90%的密码。时间。

该研究还发现,由于多次写入同一密码而形成的“图案污点”特别容易识别。

此外:


“我们证明,在许多情况下,即使通过模拟应用程序使用产生的'噪声'或由于偶然的衣物接触引起的失真,也可以实现全部或部分模式的恢复
,”


虽然这是一个合理的风险,但并不是特别实用的漏洞,因为攻击者需要对手机进行物理访问。在图案上使用PIN码可能会减少这种威胁的可能性,但是根据PIN的强度和手/屏幕的清洁度,它仍然存在。但是,这些研究人员推测,手指和屏幕之间的接触会残留热量,这可能又是另一个问题。

显然,每次使用后清洁屏幕都是可行的(并且不太困难)防御这种特定的攻击。我希望,如果您使用过电话(例如拨打电话/发送消息/进行任何类型的网络浏览),它也会使模式/代码变得模糊不清。通过检查我的屏幕,似乎是这种情况。

评论

别担心。我从这篇研究论文中很好地记住了这种攻击。我喜欢@AJHenderson经常擦拭我的屏幕:)

– NULLZ
13年5月16日在13:28
@Luc我已经看到两种模式,即使我被告知代码,它们几乎是不可复制的。实际上,您可以在模式代码的两点之间走动,结果会使代码变得非常棘手...

– NULLZ
13年5月16日在13:48
@Luc:我认为如果模式允许起点和终点相同,将会减少,因此每条污迹痕迹的可能模式数量从2(向前-向后)增加到2(N-1)。不用说...不感到惊讶。

–SébastienRenauld
13年5月16日在14:15
“显然,每次使用后清洁屏幕都是针对这种特定攻击的一种实用的(但并非很难)防御措施”……尤其是在蒜蓉面包之后。

–AVID♦
13年5月16日在17:43
@SébastienRenauld;我不确定您在这里的理由。如果有污迹,很容易检测到起点/终点在哪里。如果它们重叠,则即使对于圆形和类似形状,也将只需要进行两次尝试。还请记住,对于污迹攻击,即使污迹痕迹足够清楚,甚至可以说出进行滑动的方向,从而导致单次尝试就足够了。

– Mythio
13年5月16日在20:43

#2 楼

减轻智能手机上污迹攻击的一种方法是使用名为WhisperCore的应用程序。它会垂直排列数字,然后要求您擦拭屏幕以解锁手机,从而掩盖原始污迹。



如果使用图案锁定您的手机,输入正确的样式后,屏幕上会出现满星的情况。滑动突出显示的星星以解锁手机,再次模糊原始的污迹图案。



当然,该应用程序基本上是强制性提示,可擦除屏幕,但是这样可以减少每次解锁手机时擦屏的烦恼。

图片来源:Android Police

评论

我个人对WhisperCore和相关工具有很多问题。几个月前,我尝试使其在多个Android设备上运行都无济于事。但是现在情况可能有所不同。

– NULLZ
13年5月16日下午14:36
等一等。为什么不只是在第一个屏幕上随机排列数字,然后要求输入PIN?这样就不需要第二个需要擦拭的屏幕了。

–克莱顿·斯坦利(Clayton Stanley)
13年5月16日在19:07


@ClaytonStanley因为我们人类很想记住字母和数字的无意义组合。这就是为什么在使用手机几周后,您实际上不再输入PIN并开始在屏幕上进行一系列“记住”肌肉的触摸的原因。操作系统的密码也会发生同样的情况,因为您每天要输入几次该密码,所以只需快速敲击键盘,而无需考虑密码的实际字符。现在,假设有人切换了键盘的布局设置(Google德语或北欧布局)。

–阿迪
13年5月16日在19:38


@DanNeely我不需要,科学为我说话。无论您是否相信,重复的任务都会在您的大脑中建立新的联系,这是不可避免的。结合称为“内隐学习”的过程,您将学习如何骑自行车,如何驾驶汽车,武术,进入房屋中的暗室时电灯开关的位置以及密码。密码复杂的规范是记忆力,例外是像您这样的人(当然,这并不是为了让我们完全忘记密码)。 bit.ly/NZDMbQ、bit.ly/184ztVn、bit.ly/13zMyFf。

–阿迪
13年5月16日在21:35


是的-我的大部分密码都使用肌肉记忆,尤其是长密码。实际上,对于某些PC机,我知道由于噪音我已经正确键入了它们!

–Rory Alsop♦
13年5月16日在21:41

#3 楼

有一篇论文(将尝试找到它)很好地解释了安全性的改进:

至少使用两次数字之一,并且密码超过4位数字

基本上,“轻扫图案”选项非常容易看到-即使距离很远也可以用肩膀冲浪。看看本文,了解一些有趣的技术信息。

如果使用pin选项,大多数用户最终会选择4位数的密码,因此大多数攻击者都将尝试这样做,并且将手机放在灯光下,可以非常清楚地看到该图钉。但是,如果您有一个6位数的密码,其中两次使用了2位数,那么攻击空间将变得非常具有挑战性,因为攻击者不知道您是否使用4位数的密码,5甚至更多的密码-他们很可能会开始带有4的手机,并且比进入手机更容易锁定手机。

#4 楼

这是使用另一种解锁方法的好理由,该另一种解锁方法每次都会使解锁动作有所不同。例如,不是将数字0-9布置为:

7 8 9
4 5 6
1 2 3
  0


,它可能显示为:

3 5 7
1 2 4
6 9 0
  8


您可以使用形状代替数字。您可以将它们重新排列为正确的样式,而不只是敲击形状或数字,尽管这样做不太安全,因为在解锁之前会立即显示正确的样式。但是,如果目标是将矩阵中的数字按顺序排列,使某些行的总和等正确,那么对于那些看到或记录您执行解锁序列的人来说,这可能更加安全/不太明显。

可能只对视障者有效,它可以大声读出数字(通过他们的耳机)。对于视力和听力受损的人,当他们触摸电话的不同部分以确定哪个号码时,电话可能会以某种方式振动,然后,他们知道要输入密码的号码后才触摸某物。您还可以让它将数字锁定在某个方向上,并且只按预定的时间表进行更改,以使记住新方向甚至完全锁定它的难度变得较小,即使那样很容易造成污迹攻击。

评论

我喜欢这个主意,但它可能会降低受损用户的可用性。对于长密码或较大的输入字母,也可能会出现问题。默认情况下启用此选项是一项不错的功能。

–杰里
13年5月16日在19:36
让他们更容易受到攻击是不公平的。我会更新我的答案,谢谢。

–加里·韦弗(Gary S. Weaver)
13年5月16日在19:48


+1,了解如何为残障人士提供服务。

– AJMansfield
13年5月17日在0:04


有几家公司生产的按键中的LED完全符合您的描述。我第一次看到它是在1990年代,所以这不是新事物。我有一个朋友创建了一家名为GrIDSure的公司(现已停业),该公司受到这些锁的启发,拥有一个系统,在该系统中,您的PIN码是一种模式,键盘的随机化将其转变为OTP。

– Blfl
13年5月17日在10:50
Cyanogenmod实际上具有此功能,每次都将数字的布局随机化。不幸的是,输入图钉花的时间更长。

– JonasCz-恢复莫妮卡
2015年11月10日14:05

#5 楼

我曾经一个人总是在解锁后一直擦拭我的衬衫的屏幕,这是因为这个原因(并且因为我发现手指的划痕很烦人。)但是,是的,如果您将它解锁并且至少不继续,那将是很大的风险。

PIN码可能会有所帮助,但是您仍然可以看到被触摸的地方,这将大大降低猜测密码的复杂性。如果有明显的标记,擦拭屏幕仍然是一个好主意。

另一个很好的解决方法是,如果他们增加了第二个快速步骤来跟踪另一个图案,这将使之前识别图案更加困难解锁。

评论

如果有的话,可通过Pinpad解锁屏幕(每次随机分配数字布局)将消除污迹攻击。在我工作的地方,我们有徽章读取器;只需花一两秒钟的时间即可找到数字所在的位置,然后键入6位数的密码。 OTOH如果您拥有的只是标准长度的销,那么攻击者可能会使用蛮力工具闯入,而且我怀疑如果您输入密码,则拼写混乱的布局将对字母键盘造成更大的阻碍。

–丹在火光中摆弄
13年5月16日在17:06
有人需要出售一排带有内置超细纤维垫的衬衫,以擦拭移动设备的屏幕。 :-)

– LarsH
13年5月17日在13:49
@LarsH-也许他们可以使它像带有产品信息的小标签一样,您可以将其翻开,使用然后放开。或者,我们可以在胸前的口袋里戴上手帕,带回去,但要用一块超细纤维布。 ;)

– AJ亨德森
13年5月17日在13:52


#6 楼

每次打开屏幕我都会擦拭屏幕一段时间。部分原因是由于此问题,部分原因是在眩光的情况下提高了可读性。我很感兴趣地发现有关于此主题的实际研究。

尽管触摸屏特别容易出现物理残留物泄露秘密信息的问题(尽管疏油性有所改善屏幕涂料),使用其他输入法也会出现此问题。即使不使用专门的设备,在(硬件)按钮,开关或小键盘的表面上也可能会看到指纹。我敢肯定,我们都看到过擦掉的文字,撕裂的薄膜覆盖层或经常使用的按钮磨损的镀层:



在安全方面,这种类型的问题可能意味着密码更改的频率不够高,但是我看到了它的真实示例。显然,在这种降解变为肉眼可见之前,需要将其更换。但是,在更高的安全性设置中,这可能还不够。两种可能的补救措施是使用非常耐用的按钮,并在输入密码之前或之后使每个按钮的按动次数均匀。

#7 楼

我在平板电脑上的十位数字图钉中仅使用一次所有十位数字,而不是模式。我也没有在平板电脑上保留任何特别有价值的东西(密码存在的唯一原因是PIN码是必须的,以便使用Android保存VPN配置详细信息-不包括我的用户密码)。

注意:一次使用所有十位数字的排列确实会大大降低熵。排列数:10! = 3 628 800,大约相当于一个6.56个字符长的引脚,比10位随机引脚要容易大约3000倍。

另外,当我在地铁上使用平板电脑上下班时,我发现在触摸板上窃听PIN相当容易,但发现这是抵御污迹攻击的合理防御方法。