Smartphone: Zvyšuje opakující se cifra v PINu bezpečnost?
Je 4místný PIN, ve kterém se jedna cifra opakuje, bezpečnější než PIN, ve kterém jsou použity čtyři různé cifry?
Na jakýkoliv telefon s dotykovým displejem může být veden smudge attack, avšak obrana proti tomuto útoku je naprosto jednoduchá. Stačí vždy po použití telefonu otřít displej. Ovšem pokud tak neučiníte, zůstanou na něm zřetelné stopy. V takovém případě je pak celkem velká pravděpodobnost, že se útočníkovi podaří váš telefon, v případě že se ho zmocní, odemknout.
Pokud uživatel používá k ochraně svého telefonu gesto, je poměrně snadné ho zopakovat podle stopy, která na displeji zůstala. Co když ale uživatel používá k ochraně svého telefonu PIN? I v takovém případě ulpí na displeji otisky v místech, kde se nachází klávesy virtuální klávesnice a útočník má poměrně slušnou šanci, že se do vašeho telefonu dostane. Položme si otázku, kolik by musel teoreticky vyzkoušet různých PINů. Je zřejmé, že počet všech kombinací bude záležet na tom, o kolika místný PIN se bude jednat.
Vzhledem k tomu, že na iOS se pro odemčení zařízení často používá 4ciferný PIN, je zřejmé, že na displeji v takovém případě pravděpodobně najdeme 4 otisky. A pak útočník musí logicky vyzkoušet 24 možností (můžeme je spočítat jako 4!, protože žádná cifra se nemůže opakovat). Co když jsou ale na displeji otisky jen 3? V takovém případě se jedna číslice v PINu opakuje dvakrát a útočník musí vyzkoušet 36 možností (můžeme je spočítat jako 4!/2!*3, protože jedna ze tří cifer se může opakovat dvakrát).
Počkat, to by ale znamenalo, že PIN, ve kterém se jedna cifra opakuje, je bezpečnější než PIN, ve kterém jsou použity 4 různé cifry, protože 36 je přeci víc než 24. Ano, na dotykovém displeji zůstanou vaše otisky na 4 místech, a to tam, kde se na virtuální klávesnici nachází jednotlivé klávesy, zatímco v případě, že ve svém 4místném PINu použijete jen 3 různé cifry, tak se na displeji budou nacházet jen 3 otisky. Je tomu ale opravdu tak?
Pomineme nyní skutečnost, že jestli má útočník vyzkoušet 24 nebo 36 možností, tak to nehraje v podstatě žádnou roli, a zamysleme se znovu nad tím, zda je za jinak stejných podmínek skutečně bezpečnější PIN, ve kterém jsou použity různé cifry než PIN, ve kterém se jedna cifra opakuje. Předpokládejme, že je použit běžný smartphone s iOS nebo Android, který nebyl nijak upravován, a že umístění jednotlivých čísel na numerické klávesnici je neměnné.
Závěr: Tento příspěvek jsem sepsal na základě článku na skeletonkeysecurity a mindyourdecisions. V teoretické rovině je úvaha autorů správná a stejně tak i použitý matematický aparát, ovšem realita je taková, že…
Štítky: autentizace, smartphone
K článku “Smartphone: Zvyšuje opakující se cifra v PINu bezpečnost?” se zde nachází 2 komentáře.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Závěr dokončím až po nějaké době, abych vám dal možnost se nad výše uvedeným příspěvkem zamyslet a přijít na to, zdali je výše uvedená úvaha správná či nikoliv. Takže kdo z vás mi napíše jako první?
Pokud telefon odemykám PINem a klávesnice se dotýkám (nedělám tedy šmouhu), pak dělám stejný dotyk jako když píšu na klávesnici, nebo hraji třeba Safari Party. Jinými slovy, kdo telefon aktivně využívá a a nedotýká se displeje jenom proto, aby jej odemknul, ten může být relativně v klidu, protože čtyři doteky mají velkou šanci se v těch desítkách (až stovkách) dalších skrýt.
A my, paranoici, máme samozřejmě nastaveno, že se po deseti špatných pokusech telefon vymaže. To sice může vést k občasnému smazání telefonu díky „dobrým kamarádům“, ale co se dá dělat – to, že jsem paranoidní, neznamená, že po mně nejdou… :-)