¿Qué tan seguro es iOS Touch ID?

Navega tus respuestas
0

Me preguntaba qué tan seguro es Touch ID / Keychain realmente. Según tengo entendido, los dispositivos iPhone 5S que usan Touch ID le permiten ingresar un código de acceso si su huella digital no funciona, como un "respaldo". Ahora, con iOS8, Touch ID se ofrece a las aplicaciones como una forma para que los usuarios se autentiquen.

Pero ... me parece que esto es mucho menos seguro de lo que muchas aplicaciones tienen actualmente. Dice efectivamente que puede usar el código de acceso del dispositivo en lugar de la contraseña de la aplicación (que se almacena en el llavero). Dado que la mayoría de los usuarios solo configuran códigos de acceso de dispositivo con cuatro dígitos, solo necesita probar hasta 9999 números, y luego puede ingresar no solo en el dispositivo, sino también en aplicaciones como la banca (si utilizan la API de identificación táctil) .

Además, si el dispositivo es robado y liberado, con solo un código de acceso de cuatro dígitos, ¿puede un pirata informático obtener los elementos del llavero de todas mis aplicaciones? Esto parece un gran riesgo.

¿Me estoy perdiendo algo?

¿No sería mejor si el "repliegue" de TouchID fuera una contraseña segura, en lugar de un código de cuatro dígitos?

    
pregunta Darren 11.06.2014 - 03:35
fuente

3 respuestas

4

Este no es el caso. iOS 8 permite el uso de la identificación táctil para aplicaciones, pero la "contraseña" de la identificación táctil en términos de aplicaciones es la contraseña real de la aplicación. el código de 4 dígitos solo se usa si la identificación táctil no desbloquea el teléfono

en una nota al margen, algunas aplicaciones, como la banca, casi definitivamente pueden elegir no permitir la identificación táctil para la aplicación en sí misma o incluso funciones de alto riesgo dentro de la aplicación, por ejemplo, transacciones financieras.

    
respondido por el Abbas Javan Jafari 11.06.2014 - 09:16
fuente
3

Te estás perdiendo tres cosas:

  1. Las aplicaciones de terceros no tienen que usar TouchID si no lo desean.
  2. Un PIN de 4 dígitos solo es débil si el atacante puede realizar un ataque sin conexión. Está describiendo un ataque en línea, donde el atacante está sentado en el dispositivo ingresando códigos PIN. IOS notará repetidos códigos erróneos y tomará medidas. Por defecto, después de cada décima contraseña incorrecta, se desactiva por un período de tiempo; Para mayor seguridad puedes decirle que se borre en su lugar. Consulte el PIN de 4 dígitos en su tarjeta bancaria.
  3. IOS ya le permite tener una contraseña segura en lugar de un PIN de 4 dígitos si lo desea. Simplemente apague "Contraseña simple" en la configuración.
respondido por el Graham Hill 11.06.2014 - 13:10
fuente
1

Todavía existe el problema de capturar la huella digital del teléfono (por ejemplo, la pantalla) y copiarla en un dedo artificial para engañar a la identificación táctil. Esto ya se ha demostrado sin mucho esfuerzo usando pegamento estándar (vea aquí como un ejemplo: enlace ).

Entonces, para un iPhone robado, este es un verdadero peligro para la seguridad cuando puede autenticarse con Touch-ID en un iPhone sin conexión. Debería haber una opción de seguridad, que Touch-ID solo funcionaría si el teléfono está conectado activamente a Internet, de modo que el teléfono podría estar protegido con un borrado remoto o alguna otra forma de interrupción remota a través de iCloud (y quizás incluso estar ubicado).

    
respondido por el Chris 22.09.2014 - 14:28
fuente

Lea otras preguntas en las etiquetas

¿Por qué almacenar la contraseña salt en lugar de generarla? [duplicar] Cifras SSL endurecidas para Nginx como AWS / Cloudfront Custom Origin