¿Por qué los dispositivos móviles obligan al usuario a escribir la contraseña después de reiniciar?

Navega tus respuestas
59

Hoy en día, muchos teléfonos móviles han permitido el desbloqueo mediante el reconocimiento de huellas dactilares. Sin embargo, tanto iOS como Android requieren que los usuarios ingresen la contraseña después de reiniciar el dispositivo, a pesar de que se proporciona una huella digital autorizada.

Mi pregunta es: ¿por qué?

    
pregunta nalzok 20.08.2016 - 12:19
fuente

4 respuestas

77

Primero:

  • la contraseña se utiliza para obtener acceso a la clave de cifrado del disco completo
  • la huella digital se usa para desbloquear la pantalla (de un dispositivo ya "descifrado")

La recuperación de la clave de cifrado debe ser:

  • precisa: en cada entrada, el dispositivo debe transformar la contraseña a través de una función de derivación de clave en la única y correcta clave de cifrado, de lo contrario, el dispositivo no podrá descifrar los datos
  • seguro: se obtiene a través de una función unidireccional, no se "desbloquea" al comparar los datos proporcionados por un usuario con un patrón almacenado en el dispositivo.

El reconocimiento de huellas digitales no cumple los requisitos anteriores, es:

  • difuso: en cada pulsación, el sensor proporciona al dispositivo una imagen aproximada de una parte de una huella dactilar que se ajusta con cierta precisión; en cada intento de verificación, los datos reales difieren debido a la posición diferente, sesgo, fuerza de la prensa
  • no seguro: el reconocimiento se realiza comparando la huella digital real con los datos almacenados en el dispositivo; estos datos deben ser legibles y modificables, lo que los hace vulnerables a un atacante
respondido por el techraf 20.08.2016 - 12:41
fuente
40

Debido a que la huella digital solo se usa para la autenticación, mientras que la contraseña también se usa para el cifrado , y estos son procesos distintos con requisitos muy diferentes.

Como probablemente sepa, la función principal de una pantalla de bloqueo es asegurarse de que la persona que accede a su dispositivo sea usted. Esto se llama autenticación . Si alguien inserta el pin / contraseña / huella digital correcta en una pantalla de bloqueo, el dispositivo sabe que esa persona es probablemente usted y le otorga acceso al sistema.

Además de la autenticación, la pantalla que le solicita su contraseña cuando enciende su teléfono también tiene otro propósito. Los teléfonos modernos incluyen algo llamado Encriptación de disco . Esto significa que todos los datos de usuario almacenados en el dispositivo están protegidos por un algoritmo de cifrado.

Cuando se utiliza un cifrado de disco correctamente implementado, dado solo el almacenamiento del teléfono, nadie puede acceder a sus datos, ¡ni siquiera al dispositivo en sí mismo! El tipo de cifrado simétrico utilizado para este fin utiliza una clave secreta, y esta clave nunca es almacenada por el dispositivo, por razones de seguridad. En lugar de eso, el dispositivo debe recibir la clave correcta para acceder a sus datos .

Ahora, debido a la naturaleza de este algoritmo, una clave secreta debe tener algunas propiedades importantes:

  • Debe ser largo
  • Debe ser exacto . Una clave que es casi exactamente igual que la clave secreta es completamente inútil

Desafortunadamente, resulta que los sistemas basados en biometrics , como un lector de huellas dactilares, no cumplir con estas propiedades . La cantidad de información proporcionada por ellos suele ser pequeña e inexacta.

Esta es la razón por la que necesita ingresar su contraseña, es el único mecanismo que conocemos que cumple adecuadamente con los requisitos. Esto se hace introduciendo su contraseña a través de una función de derivación clave .

Después de arrancar y recibir tu contraseña, el teléfono mantiene la clave de cifrado derivada en su memoria volátil , por lo que No es necesario volver a solicitarlo, solo autenticarte. Esto tiene algunas desventajas, como hacerlo vulnerable a un ataque de arranque en frío , pero se considera un buen compromiso entre la seguridad y la facilidad de uso.

    
respondido por el goncalopp 20.08.2016 - 15:47
fuente
2

AFAIK, en el momento del arranque, primero tiene que desbloquear la tarjeta SIM, que requiere una contraseña numérica. Las siguientes operaciones simplemente desbloquean la pantalla y para esa parte tiene diferentes métodos de autenticación (no todos están implementados en todos los dispositivos):

  • contraseña numérica o alfanumérica
  • huella digital
  • gesto
  • nada (la pantalla se desbloquea simplemente moviendo un dedo sobre ella)

Todos esos métodos son procesados directamente por el teléfono, pero el primero es procesado por la propia tarjeta SIM, y como es mucho menos poderoso que el teléfono, solo acepta una contraseña numérica. Por supuesto, el teléfono ciertamente podría interceptar el código, pero se vería como un hombre en el ataque central, y ni los fabricantes de teléfonos ni los proveedores de sistemas operativos han querido implementarlo.

    
respondido por el Serge Ballesta 21.08.2016 - 17:54
fuente
0

Aunque las principales preocupaciones mencionadas por otros son precisas, la precisión y la exactitud de una contraseña son mucho más altas que una huella digital, creo que vale la pena mencionar los controladores y los algoritmos.

Es decir, la mayor parte del espacio y el código de su disco duro no estarán disponibles hasta que haya descifrado la unidad, el código para leer e interpretar una huella digital es, seguramente, mucho más complejo (grande) que el código para leer una contraseña. Cualquier código que sea anterior al descifrado es atacable y agregar que mucho código es un riesgo de seguridad en sí mismo.

    
respondido por el Sam 22.08.2016 - 21:55
fuente

Lea otras preguntas en las etiquetas

¿Una firma digital hubiera evitado el compromiso de CCleaner? ¿Cuál es la razón específica para preferir bcrypt o PBKDF2 sobre SHA256-crypt en hashes de contraseña?