¿Las contraseñas de "conectar los puntos" del iPhone son seguras?

6

Una forma popular de iniciar sesión en iPhones y otros teléfonos es usar una contraseña de "conectar los puntos". Para aquellos que no están familiarizados, se ve algo como esto:

¿Este tipo de contraseñas están protegidas contra ataques de fuerza bruta (excluyo cosas como la ingeniería social y solo miro por encima del hombro)? Tenga en cuenta que esta pregunta se centra solo en la autenticación, no en el propio iPhone que se está pirateando

    
pregunta TheLQ 11.08.2011 - 23:36
fuente

4 respuestas

10

Es una forma sencilla de mantener honestas a las personas honestas, pero no me atrevería a detener a un atacante determinado.

Ni siquiera es seguro contra sostener una luz y buscar manchas.

Al observar los patrones de manchas, puede descubrir algunos de los bordes involucrados, lo que reduce el espacio de búsqueda significativamente mejor que la fuerza bruta.

Hay una pausa incorporada después de una comprobación fallida que ofrece cierta protección.

    
respondido por el Mike Samuel 11.08.2011 - 23:44
fuente
6

El nivel de seguridad es aproximadamente el mismo que un bloqueo de combinación de tres tambores.

es decir, Un niño de 10 años podría hackearlo.

Mi experiencia con es con Android conecta la seguridad de puntos, no iPhone, así que YMMV.

Como dijeron otros:

  • Se pueden seguir las manchas en la pantalla.
  • La entropía involucrada es razonablemente pequeña.
  • Por lo general, muchos falsos negativos en la entrada de código (mi experiencia con un teléfono de bajo consumo)
  • Si un atacante tiene acceso a largo plazo al teléfono, pueden intentarlo muchas veces con tiempos de espera cada vez mayores.
  • La navegación por los hombros es mucho más fácil

Cálculo aproximado de la entropía:

  • 9 puntos iniciales. cada punto tiene de 2 a 4 ángulos en ángulo recto (probablemente elección).
  • cada punto tiene de 1-4 vecinos de 45 grados (menos probabilidades de ser utilizado).
  • De 4-7 puntos en contraseñas normales.
  • Los puntos no se pueden reutilizar.

Conclusión:  - Alrededor de un millar de contraseñas comunes de barrido de 6 caracteres.  - Medio millón de combinaciones (430029) entre 1 y 9 puntos.

    
respondido por el Andrew Russell 12.08.2011 - 02:21
fuente
4

Como han mencionado otros, al observar las marcas de manchas, a menudo es posible averiguar el código de acceso. Para una evaluación exhaustiva de este riesgo, consulte el siguiente documento de investigación:

Adam J. Aviv, Katherine Gibson, Evan Mossop, Matt Blaze y Jonathan M. Smith, Smudge Attacks en pantallas táctiles de teléfonos inteligentes , WOOT 2010.

Muestran cómo al tomar una foto con una cámara digital en ángulo con respecto a la pantalla, es posible recuperar la mayor parte del patrón. Sorprendentemente, descubrieron que es posible recuperar el patrón incluso si el usuario ha colocado el teléfono en su bolsillo: podría pensar que esto borraría las huellas dactilares, pero no lo hace. De hecho, incluso hicieron experimentos en los que borraron la pantalla del teléfono con un paño después de ingresar su patrón y descubrieron que aún podían recuperar el patrón de contraseña.

(Por cierto, también dan un cálculo del número de posibles patrones de contraseña: 389,112 patrones. Pero muestran que con una imagen del patrón de manchas, esto a menudo se puede reducir a solo 1 o 2 posibilidades).

El documento es un tour-de-force, y vale la pena leerlo. Incluso con solo mirar las imágenes y figuras, tendrás una idea de lo sorprendentemente efectivo que es el ataque.

    
respondido por el D.W. 12.08.2011 - 21:48
fuente
1

Supongamos que solo tiene que seleccionar los puntos en el orden correcto. Eso ofrecería 362880 posibilidades.

Sin embargo, es más probable que puedas conectar cada punto con varios otros puntos. Eso ofrecería 51998697814228992 posibilidades.

Ahora no soy un experto en teléfonos ni en iWhatevers, pero un ladrón probablemente solo pueda mirar los datos almacenados en el teléfono. A menos que esté encriptado y / o protegido por hardware, por supuesto.

Entonces, si el ladrón no puede extraer los datos o , el ladrón no tiene tiempo suficiente para realizar tal truco, tal como lo señaló Mike Samuel, el ladrón puede mirar las huellas dactilares. en la pantalla. Recomiendo bloquear el teléfono después de tres intentos fallidos. Suena radical, pero esa es tu mejor apuesta si quieres que el método de contraseña sea seguro.

    
respondido por el Raphael R. 12.08.2011 - 00:11
fuente

Lea otras preguntas en las etiquetas