¿El sonido de clic del teclado de iOS 10 se divulga demasiado?

5

El teclado actualizado en iOS 10 tiene al menos tres sonidos de "clic" distintos que conozco: un clic alto en la entrada de cualquier carácter normal; un clic de rango medio al ingresar un espacio, alternar un turno o cambiar entre los diseños ABC , 123 y # + = ; y un clic bajo para cada retroceso. Compare esto con iOS 9, que tenía un sonido de clic que se reproducía con cada pulsación de tecla, independientemente de lo que fuera.

La primera vez que ingresé una contraseña con este teclado, me pareció un poco desconcertante que el teléfono transmitiera de forma audible más detalles sobre el estado del teclado de lo que personalmente preferiría. Pero cuanto más lo pienso, más dificultad tengo para imaginar un ataque que pueda hacer uso de esta información de una manera práctica.

¿Estoy siendo demasiado paranoico al pensar que una grabación de audio de una entrada de contraseña de iOS 10 revela significativamente más detalles que la misma entrada en iOS 9? ¿Este cambio reduce, en una cantidad útil, el esfuerzo requerido para que un adversario teórico descubra una contraseña?

    
pregunta smitelli 04.10.2016 - 10:39
fuente

2 respuestas

3

Aunque es similar a la navegación de hombro a la antigua, este ataque tiene algunas limitaciones graves:

  • Necesitas proximidad física: necesitas escuchar los sonidos de tapping. Eso significa que no puede ser automatizado.
  • Si bien disminuye la entropía de la contraseña, no obtiene la contraseña completa. Para que esto sea útil, necesitarías más información, por ejemplo, un hash filtrado (que ahora es más rápido de descifrar, ya que puede restringir el diccionario) o otra contraseña que se considera que es una variante desactivada (como password1 en lugar de solo password ).

Debido a estas dos limitaciones, solo puedo ver dos escenarios razonables:

  • Para objetivos de valor extremadamente alto, el envío de alguien que escuche los sonidos de las tomas puede valer la pena. Pero nadie leyendo esto es tan interesante ...
  • Podría ser utilizado por una persona importante u otra persona cercana que ya conoce algunas de las contraseñas que usa la víctima y no necesita excusas para estar en el rango de escucha.

En conclusión, estoy con Apple en este caso. La mayor facilidad de uso probablemente supere la pequeña pérdida de seguridad. Si te molesta, siempre puedes desactivar el sonido del grifo por completo. Pero ese no es un consejo de seguridad que me molestaría darle a un usuario común.

Y tenga en cuenta que incluso el sonido de toque anterior permitiría a un oyente deducir la longitud de la contraseña.

(Pensándolo bien, podrían haber desactivado los diferentes sonidos de los campos de contraseña y mantenerlos para todo lo demás. Hubiera sido mejor. Pero no perdería el sueño por eso)

    
respondido por el Anders 04.10.2016 - 12:54
fuente
3

Si alguien tiene una razón realmente buena y valiosa para atacarte, podría usar esto para reducir un ataque de fuerza bruta / máscara.

Para las personas normales, las posibilidades de que un cracker de contraseñas (trabajando con fines de lucro) te encuentren físicamente a ti y a tu teléfono en el mundo real, puedan escucharte CERRAMENTE cuando escribas tu contraseña Y el hash de tu contraseña es infinitesimal.

Si alguien tiene una razón real para ir a cavar un montón para obtenerlo, ganando una gran cantidad de dinero, más de lo que haría al descifrar la contraseña de otra persona, que es probable que sea "12345" y requiera menos que un minuto para descifrar un Commodore 64, lo que significa que saben que eres más valioso que el rubio 1234; simplemente debe desactivar el sonido de la tecla en su teléfono.

Sin embargo, si eres esta persona, es probable que ya hayas desactivado el sonido de la tecla en iOS9 para que nadie pueda decir cuánto tiempo estuvo tu contraseña.

La respuesta técnica es que sí: la pérdida de seguridad es real:

Diga que su contraseña es "& Passw0rd5"

Con iOS9, solo sabría que su contraseña tenía 10 caracteres de longitud (lo cual es demasiado corto, pero estoy usando este ejemplo para ilustrar mi punto). Debería suponer que utilizó las 4 "categorías" ASCII (mayúsculas, minúsculas, números y símbolos). Esto haría que su contraseña:

95 ^ 10 = 5.98736939E + 19 posibles

A seriamente badass la computadora de descifrado de contraseñas revisará hasta 350 mil millones de hashes por segundo, por lo que tardará un poco menos de 5.5 años en descifrar con fuerza bruta (diccionario y otros ataques , mucho más rápido pero ese no es el punto del ejemplo).

Si tuviera una grabación de usted escribiendo su contraseña en iOS10, podría hacer un ataque de máscara y reducir las posibles 3.28982945E + 15. Lo cual, con la misma computadora, podría resolver esto en aproximadamente 5 horas.

Por lo tanto, existe una pérdida potencial de seguridad muy real, pero mi ejemplo asume:

  1. Tienes una contraseña muy corta y débil que protege algo muy valioso. Si su contraseña tenía 25 caracteres y era muy fuerte, aún sería imposible descifrarla incluso con esta información.
  2. Un cracker de contraseña profesionalmente serio quiere tu contraseña.
  3. Ha recibido el hash de tu contraseña y
  4. También te encontró y pudo estar lo suficientemente cerca de ti para obtener perfectamente el patrón de tu contraseña desde el sonido.

Si # 1 se aplica a usted, por el amor de Dios, obtenga una contraseña segura . De lo contrario, si vale la pena pasar por todo lo anterior, apague el sonido de la tecla de su teléfono y sea amable con su equipo de seguridad privado para que no se agoten.

Me alegra poder servirle, señor presidente.

Si eres una persona normal, disfruta de esta nueva característica en tu iPhone que hará que escribir sea mucho más divertido.

    
respondido por el clownfish 04.10.2016 - 20:44
fuente

Lea otras preguntas en las etiquetas