Habilitar la función para iniciar sesión tan pronto como se escribe la contraseña correcta (sin presionar Intro)

Navega tus respuestas
2

Mi teléfono tiene una opción para que la pantalla de bloqueo de PIN lo desbloquee tan pronto como se ingrese el número correcto (sin presionar Intro). Por ejemplo, si la contraseña es 77912, solo debe ingresar 77912 y no presionar ↵

¿Qué impacto tiene esto en la seguridad? Todavía hay un grupo infinito de contraseñas entre las que un atacante tiene que elegir. ¿Es mucho menos seguro y cuál debería ser la longitud mínima de PIN? Estoy preocupado ahora que estoy empezando a usar mi teléfono para transacciones bancarias.

Otra característica ingeniosa que habilité es codificar el diseño del teclado para que un atacante no pueda intentar adivinar basándose en manchas de huellas dactilares.

ACTUALIZACIÓN: el pin debe tener entre 4 y 16 dígitos (inclusive)

    
pregunta Celeritas 03.06.2015 - 23:20
fuente

2 respuestas

1
What impact does this have on security?

Sus contraseñas son, en el peor de los casos, el 89% de la fuerza que tendrían si tuviera que presionar Entrar primero. Así es como lo calculé. Suponga que su contraseña puede tener una longitud de 1 a 3 dígitos, y también suponga que un atacante no conoce la longitud de su contraseña. Hay 1000 combinaciones totales (0-999). Supongamos que su contraseña es 7. 111 de cada 1000 contraseñas pasarán esa prueba. (Un solo dígito + 10 2 dígitos + 100 3 dígitos.) En el peor de los casos, es (1-0.111) = 89% tan fuerte como para obligar a alguien a presionar enter. Si su contraseña es 71, 11 de cada 1000 la pasarán (99% como fuerte), y si su contraseña es 711, 1 de cada 1000 la pasarán (100% como fuerte). Cuantos más dígitos agregue, más lejos del 89% obtendrá y más cercano al 100% obtendrá. Entonces, efectivamente, podríamos decir que el impacto en la seguridad de esta característica es mínimo. El tiempo ahorrado por usted a la larga de no tener que presionar Intro probablemente valga la pena. 

Is it much less secure and what is the minimum length of PIN should be?

Si elige una longitud de pin más de la que normalmente elegiría, está casi en el mismo nivel de seguridad. 

I'm concerned now that I'm starting to use my phone for banking.

No estoy seguro de cómo esto es relevante. Aún debe utilizar una contraseña diferente para la banca. Si le entregó su teléfono desbloqueado a un atacante, su información bancaria debería estar segura. Si eso no es cierto, tal vez porque tiene contraseñas que los sitios bancarios o las aplicaciones recuerdan, entonces puede considerar cambiar eso. No puedes garantizar que tu teléfono se bloqueará cuando un atacante lo tome. (Por ejemplo, si alguien que corre por la calle lo arranca de la mano).

    
respondido por el TTT 04.06.2015 - 00:51
fuente
0

Depende de si su teléfono tiene una longitud de PIN mínima que no sea la misma que la longitud de PIN máxima. Considere el caso, donde el teléfono permite PIN de 4, 5 o 6 dígitos, y su PIN es 12345. Cuando toca por primera vez "1234", está probando un PIN de valor "1234". Cuando luego toca "5", ahora está probando el valor PIN de "12345". Al ingresar todos los dígitos, ha probado dos PIN diferentes.

Como atacante puedo escribir 12340, luego retroceder y escribir 1, retroceder y escribir 2, etc. Esto probará los PIN de los valores 1234, 12340, 12341, 12342, etc. todo sin activar el indicador de "demasiados intentos" que podría ser alcanzado si ingresé 6 dígitos. Su único recurso de seguridad en este esquema es asegurarse de que su PIN tenga exactamente la longitud máxima permitida.

Si todos los PIN deben tener exactamente 5 dígitos, entonces es tan seguro como cualquier número aleatorio de 5 dígitos con un algoritmo de "diez intentos y el teléfono se bloquea", lo que significa que hay una posibilidad de 1: 1000 de que el atacante lo adivine (si es realmente aleatorio.)

    
respondido por el John Deters 03.06.2015 - 23:52
fuente

Lea otras preguntas en las etiquetas

¿Cómo funcionaría el "firewall" de la aplicación iOS o Android para permisos extendidos (ubicación, etc.)? ¿Es seguro usar pbkdf2 para el hashing de contraseñas y la generación de claves?