Frage:
Erraten des Touchscreen-Passworts anhand der Fingerabdruckverfolgung
Lex
2013-05-16 18:09:00 UTC
view on stackexchange narkive permalink

Nachdem sie bei einer Freundin, die nicht b> sicherheitsbewusst ist, etwas Knoblauchbrot gegessen hatte, gelang es ihr, schnell den PIN-Code zu ermitteln, um den Bildschirm meines Samsung SIII zu entsperren.

Sie Ich fand das heraus, indem ich das Gerät einfach gegen das Licht hielt und das Fettmuster betrachtete, das mein Daumen auf dem Bildschirm gelassen hatte. Sie brauchte nur 2 Versuche, um den Bildschirm zu entsperren.

Ich denke, sie hätte nicht auf mein Telefon zugreifen können, wenn ich den Bildschirm sauberer gehalten hätte oder wenn das Gerät nur durch Drücken von Zahlen entsperrt werden könnte, anstatt den Finger zu ziehen, um ein Muster zu bilden.

Ist dies ein übliches Angriffsmittel? Sind Passwörter für Fingerschleppmuster wirklich unsicherer als Passwörter für Nummernberührungen?

Ein komplexes Muster bietet möglicherweise mehr Schutz. Wenn Sie nur eine einfache Linie oder quadratische Formen haben, verringern sich die Möglichkeiten für das brutale Forcen. Ein Muster wie ein Unendlichkeitszeichen zu haben, ist meiner Meinung nach eine gute Idee
Vielen Dank für das Teilen. Es ist immer wieder toll zu sehen, wie die Sicherheit manchmal fast zufällig besiegt werden kann.
@HSN. Guter Punkt, vor allem, weil es schwieriger wird zu verfolgen, wo das Muster beginnt. Obwohl ich nicht sicher bin, wie sehr dies jemanden davon abhalten würde, zu raten, gibt es keine Kontosperrung für mehrere fehlgeschlagene Versuche.
"Meine Sicherheitstastatur wird tatsächlich ein Fingerabdruckscanner sein. Jeder, der beobachtet, wie jemand eine Folge von Tasten drückt oder das Pad nach Fingerabdrücken abstaubt und anschließend versucht, durch Wiederholen dieser Folge einzutreten, löst das Alarmsystem aus." - Evil Overlord List
Mein 8-jähriger tat dasselbe mit meinem SIII; Ich bin hastig zu einer PIN zurückgekehrt ;-)
Meine Galaxie wurde gestohlen, und der Typ, der sie gestohlen hat, ist genau auf diese Weise in mein Telefon eingebrochen. Glücklicherweise konnte er keinen weiteren Schaden anrichten, bevor ich meine Google-Passwörter änderte.
Verwandte Themen: Ich habe versucht, mich für mein Android-Gerät mit einem Muster anzumelden, habe mich aber bald wieder in eine PIN verwandelt, nicht wegen Flecken, sondern weil es für einen Schulter-Surfer (unsere Kinder) viel einfacher war, eine Form zu sehen und sich daran zu erinnern als eine Reihe von Klicks auf einem Nummernblock.
Wenn ich mich richtig erinnere, wurde in einigen Spielen, wie Splinter Cell, ein Fleckangriff auf das Sicherheitsschloss der Tür verwendet, damit der Protagonist Zugang erhielt. Er musste warten, bis der Bodygoard den Code eingegeben hatte und durch die Tür ging, dann mit der Taschenlampe I. konnte es in drei Versuchen herausfinden.
Warum wurde diese Frage kürzlich bearbeitet? Ich habe mir die Änderungen angesehen und es fühlt sich unnötig und eine Frage der stilistischen Präferenz an, hier tatsächlich etwas Neues bereitzustellen.
@Frank B Hmmm, ich habe keine Ahnung, warum er beschlossen hat, es zu ändern. Obwohl er meine ungeschickte Syntax und meinen charmanten semantischen Fremdismus gestrippt hat, muss ich zugeben: Es ist besser.
Ein weiterer Grund, sich beim Essen auf das Essen zu konzentrieren, anstatt mit Instagram zu spielen!
Abgesehen davon kann dieser "Angriff" auch ziemlich gut auf physischen Tastaturen funktionieren, deren Code nicht regelmäßig geändert wird. Wo ich früher lebte, war es ziemlich leicht zu erkennen, welche vier Tasten auf der Tastatur des Zugangscodes verwendet wurden, was nur 24 mögliche Vermutungen der Brute-Force überlässt.
Sieben antworten:
NULLZ
2013-05-16 18:20:33 UTC
view on stackexchange narkive permalink

Dies wird als "Smudge Attack" bezeichnet.

Es hängt wirklich davon ab, wie oft Sie Ihr Telefon seit dem letzten Entsperren verwendet haben, aber das allgemeine Prinzip bleibt bestehen. Wenn Sie die Musterfunktion von Android-Handys verwenden, kann dies besonders offensichtlich sein.

Die University of Pennsylvania veröffentlichte ein Forschungspapier zu diesem Thema und kam im Grunde zu dem Schluss, dass sie das herausfinden könnten Passwort über 90 Prozent der Zeit.

Die Studie fand auch heraus, dass „Musterflecken“, die sich aus dem mehrmaligen Schreiben desselben Passworts ergeben, besonders erkennbar sind.

Außerdem:

„Wir haben gezeigt, dass in vielen Situationen eine vollständige oder teilweise Wiederherstellung des Musters möglich ist, selbst wenn das Rauschen durch simulierte Anwendungsnutzung oder Verzerrung durch zufälligen Kleidungskontakt verwischt wird.“

Dies ist zwar ein plausibles Risiko, Es ist keine besonders praktische Sicherheitslücke, da ein Angreifer physischen Zugriff auf Ihr Telefon benötigt. Die Verwendung eines PIN-Codes über einem Muster kann die Wahrscheinlichkeit, dass dies eine Bedrohung darstellt, verringern , hängt jedoch von der Stärke Ihrer PIN und der Sauberkeit Ihrer Hände / Ihres Bildschirms ab. Dieselben Forscher postulieren jedoch einen weiteren möglichen Angriff unter Verwendung der Wärmereste, die durch den Kontakt zwischen Ihren Fingern und dem Bildschirm entstehen, was insgesamt ein weiteres Problem darstellen würde.

Natürlich ist das Reinigen Ihres Bildschirms nach jedem Gebrauch praktisch (und nicht) zu schwierig) Verteidigung gegen diesen spezifischen Angriff. Ich würde erwarten, dass wenn Sie Ihr Telefon verwendet haben (z. B. zum Tätigen von Anrufen / Senden einer Nachricht / zum Surfen im Internet), die Muster / Codes auch ausreichend verschleiert werden. Nach der Untersuchung meines Bildschirms scheint dies der Fall zu sein.

Keine Sorgen. Ich erinnere mich noch gut an diesen Angriff aus diesem Forschungsbericht. Ich mag es, wenn @AJHenderson meinen Bildschirm häufig abwischt :)
"90 Prozent", das ist besorgniserregend. Und interessant: Es bedeutet auch, dass die Muster der meisten Menschen wahrscheinlich nicht sehr komplex und daher brutal durchsetzbar sind.
@Luc Ich habe zwei Muster gesehen, die fast nicht replizierbar sind, selbst wenn mir der Code mitgeteilt wurde. Sie können tatsächlich zwischen die Punkte für die Mustercodes gelangen und dadurch Codes ziemlich knifflig machen ...
@Luc: Ich denke, es würde reduziert, wenn die Muster einen gleichen Start- und Endpunkt zulassen würden, wodurch die Anzahl möglicher Muster pro Fleckspur von 2 (vorwärts-rückwärts) auf 2 (N-1) erhöht würde. Unnötig zu sagen ... nicht überrascht.
"Natürlich ist das Reinigen Ihres Bildschirms nach jedem Gebrauch eine praktische (und nicht zu schwierige) Verteidigung gegen diesen speziellen Angriff" ... besonders nach Knoblauchbrot.
Beachten Sie, dass das Risiko eines Verschmutzungsangriffs auch von der Art der Abdeckung des Geräts abhängt. Einige Geräte verfügen über Abdeckungen, die den Bildschirm berühren und die Rückstände effektiv verschleiern
@SébastienRenauld; Ich bin mir nicht sicher, wie Sie hier argumentieren. Bei einer Wischspur ist leicht erkennbar, wo sich die Start- / Endpunkte befinden. Wenn sie sich überlappen, wären immer noch nur zwei Versuche erforderlich, selbst für Kreise und ähnliche Formen. Denken Sie auch daran, dass es bei Wischangriffen sogar möglich ist, die Richtung zu bestimmen, in die der Schlag ausgeführt wurde, was zu einem einzigen Versuch führt, der ausreichend wäre, da die Wischspur klar genug ist.
@Mythio: Dies hängt vom Finger des Individuums ab. Ich habe fast nicht erkennbare Spuren auf meinem TF300T aufgrund von natürlich * sehr * fettigen Fingern. Das bin aber nur ich. Mein Punkt war größtenteils ein Nebenpunkt - sie konnten ein paar Vielfache in Mustern hinzufügen, indem sie Überlappungen zuließen.
Ich fordere auch jeden auf, den verschmierten Code von meinem Telefon zu entfernen, nachdem er einige Stunden lang neben meinen verschwitzten Bällen in meiner Tasche war ...
Eine zufällige Auswahl der Schlüsselpositionen für die Passworteingabe auf dem Bildschirm würde dies lösen, obwohl die Eingabe des Passworts etwas schwieriger wäre.
Adi
2013-05-16 18:42:20 UTC
view on stackexchange narkive permalink

Eine Möglichkeit, Verschmutzungsangriffe auf Smartphones zu mildern, ist die Anwendung WhisperCore. Es ordnet die Nummern vertikal an und fordert Sie dann auf, den Bildschirm zu löschen, um das Telefon zu entsperren und die ursprünglichen Flecken zu verschleiern.

enter image description here

Wenn Sie zum Sperren ein Muster verwenden Ihr Telefon, nachdem Sie das richtige Muster eingegeben haben, ist ein Bildschirm voller Sterne. Wischen Sie über die hervorgehobenen Sterne, um das Telefon zu entsperren, und verschleiern Sie dabei erneut das ursprüngliche Verschmutzungsmuster.

enter image description here

Natürlich dient die Anwendung grundsätzlich als obligatorische Erinnerung zum Löschen Ihres Bildschirms, aber Dies geschieht auf eine Weise, die es weniger ärgerlich macht, den Bildschirm jedes Mal zu löschen, wenn Sie Ihr Telefon entsperren.

Bildquelle: Android Police

Ich persönlich hatte viele Probleme mit WhisperCore und den dazugehörigen Tools. Ich habe vor einigen Monaten erfolglos versucht, es auf mehreren Android-Geräten zum Laufen zu bringen. Die Dinge könnten jetzt jedoch anders sein.
Schön zu sehen, dass bereits jemand den Antrag gestellt hat, den ich in meiner Antwort vorgeschlagen habe. Muss es überprüfen.
Einen Augenblick. Warum nicht einfach die Zahlen auf dem ersten Bildschirm mischen und dann nach einer PIN fragen? Dann ist der zweite Bildschirm nicht mehr erforderlich, für den ein Löschen erforderlich ist.
@ClaytonStanley Weil wir Menschen daran saugen, uns an bedeutungslose Kombinationen von Buchstaben und Zahlen zu erinnern. Aus diesem Grund hören Sie nach einigen Wochen mit Ihrem Telefon auf, Ihre PIN tatsächlich einzugeben, und führen eine Reihe von Berührungen auf dem Bildschirm durch, an die sich Ihre Muskeln "erinnert" haben. Gleiches gilt für das Kennwort Ihres Betriebssystems, da Sie es mehrmals täglich eingeben und nur schnell auf die Tastatur drücken, ohne über die tatsächlichen Zeichen Ihres Kennworts nachzudenken. Stellen Sie sich nun vor, jemand hätte die Layouteinstellungen Ihrer Tastatur geändert (Google German oder Nordic Layout).
@Adnan Sprechen Sie für sich. Selbst bei üblichen Langzeitkennwörtern gebe ich sie ein, indem ich die Mnemonik wiederhole, die ich anstelle von "ASfy # wcltp13tbrtMIM" gespeichert habe. Auf einer Qwertz / Azerty / Dvorak / etc-Tastatur jagen / picken zu müssen, würde mich verlangsamen; Aber was ich mir merke, sind nicht die Positionen der Schlüssel.
@DanNeely Ich muss nicht, die Wissenschaft spricht für mich. Es ist unvermeidlich, ob Sie daran glauben oder nicht, sich wiederholende Aufgaben schaffen neue Verbindungen in Ihrem Gehirn. In Kombination mit einem Prozess namens "implizites Lernen" lernen Sie, wie man Fahrrad fährt, wie man ein Auto fährt, Kampfkunst, die Position des Lichtschalters, wenn Sie einen dunklen Raum in Ihrem Haus betreten, und Ihr Passwort. Die Norm bei komplexen Passwörtern ist das Muskelgedächtnis, die Ausnahme sind Menschen wie Sie (dies ist natürlich nicht zu sehen, dass wir unsere Passwörter vollständig vergessen). http://bit.ly/NZDMbQ, http://bit.ly/184ztVn, http://bit.ly/13zMyFf.
Ja - ich benutze das Muskelgedächtnis für die meisten meiner Passwörter, besonders für die langen. Bei einigen PCs weiß ich, dass ich sie wegen des Rauschens richtig eingegeben habe!
@RoryAlsop Gleich hier. Ich kann nicht viele Passwörter rezitieren oder sie sogar aus der Sicht erkennen. Muskelgedächtnis den ganzen Weg. Sie zum ersten Mal zu sehen ist wie "Oh, das hat mein Konto in den letzten Monaten sicher gemacht ... warte, schnell vom Bildschirm verschwinden, bevor ich mich daran erinnere!"
Rory Alsop
2013-05-17 00:53:55 UTC
view on stackexchange narkive permalink

Es gab ein Papier (wird versuchen, es zu finden), das eine sehr gute Erklärung für eine Sicherheitsverbesserung gab:

Verwenden Sie eine der Ziffern mindestens zweimal in einem Passcode von mehr mehr als 4 Stellen

Grundsätzlich ist die Option "Muster streichen" sehr leicht zu erkennen - selbst in einiger Entfernung kann mit der Schulter gesurft werden. In diesem Dokument finden Sie einige interessante Informationen zu Techniken.

Die meisten Benutzer entscheiden sich für eine 4-stellige PIN, wenn sie die verwenden Pin-Option, also ist es das, was die meisten Angreifer versuchen werden. Wenn Sie das Telefon gegen das Licht halten, können Sie den Pin ganz klar sehen. Wenn Sie jedoch eine 6-stellige PIN haben, bei der 2 der Ziffern zweimal verwendet werden, wird der Angriffsraum ziemlich schwierig, da der Angreifer nicht weiß, ob Sie eine 4-stellige PIN, eine 5 oder sogar mehr verwenden - sie beginnen wahrscheinlich mit einer 4 und sperren das Telefon eher, als hineinzukommen.

Gary S. Weaver
2013-05-17 00:13:30 UTC
view on stackexchange narkive permalink

Dies wäre ein guter Grund für eine andere Methode zum Entsperren, bei der die Entsperraktion jedes Mal anders war. Anstelle der Zahlen 0-9, die wie folgt angeordnet sind: 

  7 8 94 5 61 2 3 0

werden sie möglicherweise wie folgt angezeigt: 

  3 5 71 2 46 9 0 8

Anstelle von Zahlen können Sie auch Formen verwenden. Anstatt nur die Formen oder Zahlen zu treffen, können Sie sie in das richtige Muster umordnen. Dies wäre jedoch weniger sicher, da das richtige Muster unmittelbar vor dem Entsperren angezeigt wird. Wenn das Ziel jedoch darin besteht, die Zahlen in der Matrix in eine Reihenfolge zu bringen, in der die Summen usw. bestimmter Zeilen korrekt sind, ist dies möglicherweise noch sicherer / weniger offensichtlich für diejenigen, die Sie beim Ausführen der Entsperrsequenz gesehen oder aufgezeichnet haben.

Möglicherweise für nur Sehbehinderte, könnte es die Zahlen laut vorlesen (über ihre Kopfhörer). Für Seh- und Hörbehinderte kann das Telefon auf bestimmte Weise vibrieren, wenn sie verschiedene Teile des Telefons berühren, um festzustellen, welche Nummer welche ist. Sobald sie wissen, an welcher Nummer der Code eingegeben werden soll, berühren sie etwas. Sie können die Zahlen auch in einer bestimmten Ausrichtung sperren lassen und nur nach einem festgelegten Zeitplan ändern, um es weniger schwierig zu machen, sich an die neue Ausrichtung zu erinnern, oder sie sogar vollständig sperren, obwohl dies anfällig für Verschmutzungsangriffe wäre.

Ich mag diese Idee, aber sie kann die Benutzerfreundlichkeit für Benutzer mit Behinderungen beeinträchtigen. Dies kann auch bei langen Passwörtern oder größeren Eingabealphabeten problematisch sein. Wenn dies optional ist und standardmäßig aktiviert ist, scheint dies eine gute Funktion zu sein.
Es wäre nicht fair, wenn sie anfälliger für Angriffe wären. Ich werde meine Antwort aktualisieren, danke.
+1 für die Funktionsweise von Menschen mit Behinderungen.
Es gibt einige Unternehmen, die Tastaturen mit LEDs in den Tasten herstellen, die genau das tun, was Sie beschrieben haben. Das erste Mal, dass ich eines gesehen habe, war in den 1990ern, also ist es keine neue Sache. Ich habe einen Freund, der eine (inzwischen nicht mehr existierende) Firma namens GrIDSure gegründet hat, die, inspiriert von diesen Schlössern, ein System hatte, bei dem Ihre PIN ein Muster war und die Randomisierung der Tastatur sie in ein OTP verwandelte.
Cyanogenmod hat tatsächlich diese Funktion, bei der das Layout der Zahlen jedes Mal zufällig ausgewählt wird. Leider dauert es viel länger, den Pin einzugeben.
AJ Henderson
2013-05-16 18:22:45 UTC
view on stackexchange narkive permalink

Ich jedenfalls habe meinen Bildschirm auf meinem Hemd immer abgewischt, nachdem ich es speziell aus diesem Grund entsperrt habe (und weil ich die Fingerabdrücke als störend empfinde). Aber ja, dies ist ein großes Risiko, wenn Sie es entsperren und nicht Verwenden Sie es zumindest noch eine Weile, um die Markierungen durcheinander zu bringen.

Ein PIN-Code kann einigen helfen, aber Sie können möglicherweise immer noch die berührten Stellen sehen, was die Komplexität des Erraten des Kennworts erheblich verringern würde . Es ist immer noch eine gute Idee, den Bildschirm zu löschen, wenn sichtbare Markierungen vorhanden sind.

Ein weiterer guter Zähler wäre, wenn ein zweiter schneller Schritt hinzugefügt wird, um ein anderes Muster zu verfolgen, das das Erkennen des Musters vor dem Entsperren erschwert .

Falls verfügbar, würde ein Pinpad-Entsperrbildschirm, der jedes Mal das Nummernlayout zufällig festlegt, einen Fleckangriff abwehren. Wo ich die Dachsleser arbeite, machen wir das; Es dauert nur ein oder zwei Sekunden, um herauszufinden, wo sich die Zahlen dieses Mal befinden, und geben Sie den 6-stelligen Pin ein. OTOH Wenn Sie nur einen Stift mit Standardlänge haben, könnte ein Angreifer Brute-Force-Tools verwenden, um einzubrechen, und ich vermute, dass ein verschlüsseltes Layout ein viel größeres Hindernis für eine alphabetische Tastatur darstellt, wenn Sie stattdessen ein Kennwort eingeben.
Jemand muss eine Reihe von Hemden mit eingebauten Mikrofaser-Pads verkaufen, um die Bildschirme mobiler Geräte abzuwischen. :-)
@LarsH - vielleicht könnten sie es wie das kleine Etikett mit den Produktinformationen machen, Sie könnten es einfach ausklappen, verwenden und dann weglegen. Oder wir bringen ein Taschentuch in der Brusttasche mit, haben aber stattdessen ein Mikrofasertuch. ;)
jerry
2013-05-17 00:27:10 UTC
view on stackexchange narkive permalink

Ich habe meinen Bildschirm jedes Mal, wenn ich ihn einschalte, für einige Zeit abgewischt. Dies ist teilweise auf dieses Problem zurückzuführen und teilweise auf die Verbesserung der Lesbarkeit bei Blendung. Ich war sehr daran interessiert herauszufinden, dass es tatsächlich Forschungsergebnisse zu diesem Thema gibt.

Während Touchscreens besonders anfällig für das Problem sind, dass physische Rückstände geheime Informationen preisgeben (trotz der Verbesserungen, die beim oleophoben Bildschirm vorgenommen wurden Beschichtungen), das Problem kann auch bei anderen Eingabemethoden auftreten. Fingerabdrücke können auf der Oberfläche von (Hardware-) Tasten, Schaltern oder Tastaturen sichtbar sein, auch ohne die Verwendung spezieller Geräte.

Selbst wenn sie abgewischt werden, gibt es ein dauerhafteres Problem. Ich bin sicher, wir haben alle Text gesehen, der abgerieben wurde, eine Membranüberlagerung, die gerissen wurde, oder eine Beschichtung, die sich auf einer häufig verwendeten Schaltfläche abnutzt:

worn keypad

In einem Sicherheitskontext bedeutet diese Art von Problem wahrscheinlich, dass das Kennwort nicht oft genug geändert wird, aber ich habe echte Beispiele dafür gesehen. Offensichtlich muss es ausgetauscht werden, bevor diese Verschlechterung mit bloßem Auge sichtbar wird. In höheren Sicherheitseinstellungen reicht dies jedoch wahrscheinlich nicht aus. Zwei mögliche Abhilfemaßnahmen sind die Verwendung sehr langlebiger Tasten und das Ausgleichen der Anzahl der Tastendrücke vor oder nach der Eingabe des Passworts.

dr jimbob
2013-05-17 00:19:39 UTC
view on stackexchange narkive permalink

Ich verwende alle zehn Ziffern genau einmal in einem zehnstelligen Stift auf meinem Tablet im Vergleich zu einem Muster. Ich behalte auch nichts Besonderes auf meinem Tablet (der einzige Grund, warum das Passwort vorhanden ist, da eine PIN erforderlich ist, um VPN-Konfigurationsdetails mit Android zu speichern - ohne mein Benutzerpasswort).

Hinweis: Wenn Sie eine Permutation aller zehn Ziffern genau einmal verwenden, wird die Entropie erheblich reduziert. Die Anzahl der Permutationen: 10! = 3 628 800, was ungefähr einem 6,56 Zeichen langen Pin entspricht oder ungefähr 3000-mal einfacher ist als ein 10-stelliger zufälliger Pin.

Außerdem finde ich es ziemlich einfach, eine PIN auf einem Touchpad zu belauschen, wenn ich mein Tablet in einer U-Bahn pendle, finde aber, dass dies eine angemessene Verteidigung gegen Verschmutzungsangriffe ist.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...