Si alguien tiene una razón realmente buena y valiosa para atacarte, podría usar esto para reducir un ataque de fuerza bruta / máscara.
Para las personas normales, las posibilidades de que un cracker de contraseñas (trabajando con fines de lucro) te encuentren físicamente a ti y a tu teléfono en el mundo real, puedan escucharte CERRAMENTE cuando escribas tu contraseña Y el hash de tu contraseña es infinitesimal.
Si alguien tiene una razón real para ir a cavar un montón para obtenerlo, ganando una gran cantidad de dinero, más de lo que haría al descifrar la contraseña de otra persona, que es probable que sea "12345" y requiera menos que un minuto para descifrar un Commodore 64, lo que significa que saben que eres más valioso que el rubio 1234; simplemente debe desactivar el sonido de la tecla en su teléfono.
Sin embargo, si eres esta persona, es probable que ya hayas desactivado el sonido de la tecla en iOS9 para que nadie pueda decir cuánto tiempo estuvo tu contraseña.
La respuesta técnica es que sí: la pérdida de seguridad es real:
Diga que su contraseña es "& Passw0rd5"
Con iOS9, solo sabría que su contraseña tenía 10 caracteres de longitud (lo cual es demasiado corto, pero estoy usando este ejemplo para ilustrar mi punto). Debería suponer que utilizó las 4 "categorías" ASCII (mayúsculas, minúsculas, números y símbolos). Esto haría que su contraseña:
95 ^ 10 = 5.98736939E + 19 posibles
A seriamente badass la computadora de descifrado de contraseñas revisará hasta 350 mil millones de hashes por segundo, por lo que tardará un poco menos de 5.5 años en descifrar con fuerza bruta (diccionario y otros ataques , mucho más rápido pero ese no es el punto del ejemplo).
Si tuviera una grabación de usted escribiendo su contraseña en iOS10, podría hacer un ataque de máscara y reducir las posibles 3.28982945E + 15. Lo cual, con la misma computadora, podría resolver esto en aproximadamente 5 horas.
Por lo tanto, existe una pérdida potencial de seguridad muy real, pero mi ejemplo asume:
- Tienes una contraseña muy corta y débil que protege algo muy valioso. Si su contraseña tenía 25 caracteres y era muy fuerte, aún sería imposible descifrarla incluso con esta información.
- Un cracker de contraseña profesionalmente serio quiere tu contraseña.
- Ha recibido el hash de tu contraseña y
- También te encontró y pudo estar lo suficientemente cerca de ti para obtener perfectamente el patrón de tu contraseña desde el sonido.
Si # 1 se aplica a usted, por el amor de Dios, obtenga una contraseña segura . De lo contrario, si vale la pena pasar por todo lo anterior, apague el sonido de la tecla de su teléfono y sea amable con su equipo de seguridad privado para que no se agoten.
Me alegra poder servirle, señor presidente.
Si eres una persona normal, disfruta de esta nueva característica en tu iPhone que hará que escribir sea mucho más divertido.