Question:
Quelle est la sécurité d'un capteur d'empreintes digitales par rapport à un mot de passe standard?
Gavin Youker
2016-12-06 02:08:57 UTC
view on stackexchange narkive permalink

Selon Apple, Touch ID, la probabilité d'une correspondance d'empreinte digitale est de 1: 50000 tandis que la probabilité de deviner un code à quatre chiffres est de 1: 10000. Statistiquement parlant, cela rendrait Touch ID cinq fois plus sûr. Mais la réponse n'est pas si simple. Reconstruire une empreinte digitale est beaucoup plus facile que reconstruire un mot de passe. Bien qu'une empreinte digitale soit unique, vous vous promenez essentiellement avec la clé de sécurité sur vous à tout moment. Je vois que le fait d'avoir une empreinte digitale, c'est comme avoir les quatre chiffres d'un mot de passe, mais pas dans le bon ordre (est-ce le bon raisonnement cependant?).

Quoi qu'il en soit, je ne suis pas intéressé par un mot de passe. Je suis intéressé par un mot de passe . Les applications logicielles vous permettent de vous connecter aux réseaux sociaux, aux transactions en ligne et même aux comptes bancaires. Un rapport de 1: 50000 est-il vraiment aussi sûr par rapport à un mot de passe, en particulier lorsque l'on regarde de telles données de sensation? Je suis plus intéressé par une fois que l'attaquant a le mot de passe ou l'empreinte digitale, pas tant par les méthodes de forçage brutal. Avec un mot de passe fort, il semble que les chances soient beaucoup plus grandes. Bien qu'une empreinte digitale soit unique par personne, un mot de passe est unique par situation. Si j'ai votre empreinte digitale, j'ai votre e-mail, vos comptes de réseaux sociaux et vos informations bancaires. Où comme mot de passe je ne peux avoir que votre Facebook.

La numérisation d'empreintes digitales se développe-t-elle rapidement uniquement pour des raisons de commodité ou est-elle plus sécurisée pour l'utilisateur typique? Les revendications publicitaires sont plus pratiques et plus sûres. Cependant, est-ce normalement le cas?

Le fait que vous n'abandonniez normalement pas votre téléphone sans surveillance ajoute une certaine sécurité à celui-ci.L'attaquant aurait besoin de voler votre empreinte digitale et votre téléphone, la technique peut être facile, mais le faire inaperçu ne l'est probablement pas.Un mot de passe à 4 chiffres peut également être surfé sur l'épaule alors que votre empreinte digitale ne le peut pas
Pour citer quelqu'un qui a [piraté TouchID sur Iphone6] (https://blog.lookout.com/blog/2014/09/23/iphone-6-touchid-hack/) et [Iphone5s] (https: //blog.lookout.com / blog / 2013/09/23 / why-i-hacked-apple-touchid-and-think-it-is-awesome /): * TouchID n'est pas un contrôle de sécurité «fort».C'est un contrôle de sécurité «pratique». *
Les mots de passe sont plus faciles à garder secrets que les empreintes digitales.Et les mots de passe sont plus faciles à remplacer s'ils ont fui.
Pas exactement lié à la sécurité, mais à noter: aux États-Unis, un tribunal ne peut pas vous obliger à déverrouiller un appareil avec un mot de passe, mais il le peut avec une empreinte digitale.La distinction étant l'une est l'information dans votre esprit, l'autre vous oblige à toucher quelque chose avec votre doigt.
@LTME et si vous les avez écrits quelque part?Une sorte de copie physique / numérique.
Lecture fortement recommandée: [Vos empreintes digitales indéchiffrables ne sécurisent rien.] (Http://hackaday.com/2015/11/10/your-unhashable-fingerprints-secure-nothing/)
Copie possible de [Quel est le niveau de sécurité de l'utilisation de votre empreinte digitale pour le mot de passe contre les voleurs opportunistes?] (Http://security.stackexchange.com/questions/138827/how-secure-is-using-your-fingerprint-for-password-against-opportunistes-voleurs)
Hmmmm.C'est ton doigt?
"Une empreinte digitale n'est pas votre mot de passe. C'est votre nom d'utilisateur."
@DavidTonhofer Qui a dit cela?
@GavinYouker Je ne me souviens pas vraiment.Quelqu'un dans une section de commentaires une fois, je pense.Ou peut-être quelqu'un dans une interview dans IEEE Security & Privacy, mais probablement le premier.
Sur l'échelle de Secure à Pratique, je dirais que cela penche plus vers Pratique que les mots de passe.
C'est un sujet courant en matière de sécurité.De nombreuses personnes confondent identité et mot de passe.Par exemple, e-mail, empreinte digitale, numéro de carte de crédit, numéro de téléphone, numéro de sécurité sociale, numéro de compte bancaire - ce sont tous vos identifiants, pas vos mots de passe.Le plus triste est qu'ils sont souvent utilisés comme des mots de passe: / Les mots de passe sont des secrets, les identités ne le sont pas - la confusion conduit à des complications comme le masquage des numéros de carte pour les garder utiles comme identification au moins dans une certaine mesure, tout en éliminant (espérons-le) leurs acquisrôle de mot de passe.
Un téléphone est quelque chose que vous ** avez **;une empreinte digitale est quelque chose que vous * avez *, et un mot de passe est quelque chose que vous * connaissez *.Il vaut mieux en avoir un sur deux.Sans compter que vous laissez des empreintes digitales partout et que 99,999% des gens ne commenceront pas à porter des gants toutes les secondes.
La comparaison d'Apple "1 sur 10000 pour un code à quatre chiffres" semble un peu fallacieuse.Poppycock, dis-je.Chaque caractère supplémentaire que vous ajoutez à ce mot de passe augmente la sécurité de manière exponentielle.Obtenez-le au-dessus de 10 ou 12 chiffres et devinez que cela devient une tâche assez lourde, certainement beaucoup plus sécurisée que 1 sur 50000. 10 ou 12 chiffres est difficile à retenir, dites-vous?10 chiffres ne sont qu'un numéro de téléphone.20 chiffres ne représentent que deux numéros de téléphone.Touch ID est une question de commodité, pas de sécurité.Gardez également à l'esprit que quelqu'un peut toujours placer de force votre pouce sur ce bouton Touch ID, même si votre pouce est mort.
@Mr.E un attaquant suffisamment motivé pourrait vous libérer physiquement de votre téléphone et de votre empreinte digitale, mais pas de votre mot de passe.
-1
Le problème est qu'un mot de passe à 4 chiffres n'est pas du tout sécurisé.Dans ce cas, le lecteur d'empreintes digitales sera plus sécurisé.Mais plus le mot de passe est long, plus la sécurité est forte.L'espace de recherche pour un code d'accès à 4 chiffres uniquement comprend 11 100 permutations.Cela correspond à l'estimation 1: 10000 d'Apple.En supposant seulement 1000 suppositions / seconde, ce mot de passe est compromis en 11 secondes.5 chiffres vous rapportent près de 2 minutes, 6 chiffres achètent 20 minutes, 7 chiffres achètent plus de 3 heures, 8 achats près d'un jour et demi, 9 achats 2 semaines, 10 achats 4,24 mois, 11 achats 3,5 ans, 12 achats 35 ans,13 achète 3,5 siècles.
-1
@Wildcard, Techniquement, ils sont hachables.Vous auriez juste à hacher un million de représentations.
Huit réponses:
John Wu
2016-12-06 02:19:42 UTC
view on stackexchange narkive permalink

L'empreinte digitale constitue le seul moyen d'authentification pour accéder à l'appareil, mais pas pour accéder aux services ou sites sécurisés. Il ne joue donc pas le même rôle qu'un mot de passe.

En général, l'authentification par empreinte digitale est utilisée comme deuxième facteur d'authentification, le premier étant la possession physique de l'appareil sur lequel le capteur d'empreintes digitales est hébergé. Et il peut y avoir d'autres facteurs aussi, tels que le mot de passe traditionnel.

Par exemple, si vous disposez d'une application bancaire en ligne, vous devrez généralement saisir d'abord votre nom d'utilisateur et votre mot de passe, puis indiquer à l'application que vous souhaitez activer Touch ID. Plus tard, lorsque vous souhaitez utiliser l'application, l'appareil authentifie l'empreinte digitale, puis récupère le mot de passe du stockage de mot de passe et le soumet au serveur approprié, qui authentifie le mot de passe. Si vous ne possédez pas l'appareil, l'empreinte digitale est inutile. Et si l'appareil n'a pas le mot de passe, l'appareil est également inutile.

Conclusion: vous ne pouvez pas simplement utiliser l'empreinte digitale seule. Et non, ce n'est pas un mot de passe sécurisé, sauf si le mot de passe est très très court.

"puis récupérez le mot de passe à partir du stockage du mot de passe et soumettez-le" - L'activation de Touch ID signifie que votre mot de passe est stocké (libéré) sur l'appareil?Cela signifie-t-il que l'activation de Touch ID rend votre mot de passe accessible à une personne qui accède à votre appareil?
Dépend de l'application bien sûr.Cependant, de nombreux consommateurs utilisent la fonction "Se souvenir de moi" du navigateur de leur téléphone, qui peut stocker un mot de passe sur l'appareil, oui.
@elmer007 La vraie réponse est qu'il pourrait tout aussi bien vous donner le mot de passe.Si vous vous connectez à une application en utilisant uniquement votre empreinte digitale, cela signifie que l'appareil stocke votre mot de passe ou qu'il stocke quelque chose qui peut être utilisé pour vous connecter au site / à l'application / quoi que ce soit, ce qui le rend presque aussi bon qu'un mot de passe.
Le premier facteur étant la possession physique de l'appareil et le deuxième facteur est une empreinte digitale qui peut très probablement être obtenue à partir de l'appareil.Donc, si quelqu'un vole votre téléphone et que votre empreinte digitale est sur l'écran / l'étui, il peut l'utiliser pour se connecter.
«Et si l'appareil n'a pas le mot de passe, l'appareil est également inutile»: c'est un autre gros inconvénient de l'utilisation des empreintes digitales: elles sont partout sur votre téléphone!Quiconque vole votre téléphone a également une très forte probabilité de récupérer des empreintes digitales.(Si vous utilisez un (bon) mot de passe, sauf si vous l'enregistrez vous-même sur votre téléphone ou que vous l'utilisez dans le stockage des mots de passe d'un navigateur non crypté, il n'est pas facilement accessible lorsque le téléphone est volé)
@JohnWu, Alors, est-ce l'authentification 3way?
@Pacerier Je ne suis pas sûr de ce que vous entendez par «ceci» dans votre phrase, mais je ne vois rien dans ce fil qui indique un site appliquant 3FA.Le site bancaire ne vous obligerait pas à avoir l'ID tactile ou même le téléphone, car vous pouvez installer l'application sur n'importe quel appareil de votre choix.
* "L'empreinte digitale agit comme le seul moyen d'authentification pour accéder à l'appareil, mais pas pour accéder aux services ou sites sécurisés" *: pas si votre gestionnaire de mots de passe utilise des empreintes digitales: https://myki.com/
Shritam Bhowmick
2016-12-06 15:43:38 UTC
view on stackexchange narkive permalink

La convivialité et les matrices de sécurité ne sont pas résolues avec l'authentification biométrique dépendante & Authentification

Par exemple, avant de commencer - jetez un œil à la base de la sécurité est construit dans des matrices:

enter image description here

On peut facilement conclure que la haute sécurité est malheureusement livrée avec des fonctionnalités de faible convivialité.

Comment puis-je savoir cela?

J'ai mené des recherches en cours sur la mise en œuvre architecturale sécurisée des mécanismes d'authentification & d'autorisation possibles en utilisant iOS & Android - les deux. Le cadre n'est pas décidé & avec toute l'expérience de recherche, j'ai cloué ici quelques points qui méritent d'être notés.

enter image description here

Risques possibles

  1. S'il s'agissait d'une protection de sécurité principale pour accéder aux actifs critiques, il y a des commerçants, qui peuvent faire tomber un individu en personne , couper son pouce connexion &. Cela pourrait être aussi simple que pour ceux qui ont des données financières conservées dans des procédures de connexion sécurisées (cas d'utilisation principal).
  2. D'autres menaces pourraient impliquer la collecte de l'impression à l'aide de l'imagerie haute résolution &, ​​puis appliquer des techniques de traitement d'image pour collecter le clone de l'empreinte numérique & l'utilise plus tard en l'imprimant sur un filament de plastique fin. De cette façon, il y a un deuxième contournement possible ici.
  3. Les matériaux utilisés dans la construction d'un téléphone peuvent collecter des impressions & par la suite, la partie spécifique peut être physiquement démontée pour avoir le clonage des contournements de sécurité d'&address.

Contrairement à l'utilisation de mots de passe normaux, ce dernier - il pourrait être dans l'esprit des utilisateurs de résoudre le problème de physiquement pas compromis. Tout ce dont il a besoin est de connaître le niveau de sécurité de l'utilisateur pour que le mot de passe & se connecte strictement à un type d'entreprise conforme, par exemple. PCI-DSS, etc. (en cas de fraude de données financières).

Il y a la convivialité, mais il y a aussi la sécurité. Par conséquent, une plus grande convivialité conduira à des surfaces de risque de sécurité plus larges évidentes. Par conséquent, ci-dessous vaut la peine de considérer l'utilisation de dispositifs biométriques tels que les suivants:

  1. iris (L)
  2. termogramme (L)
  3. ADN ( L)
  4. odeur (L)
  5. rétine (L)
  6. veines [main] (L)
  7. oreille (M)
  8. marche (M)
  9. empreinte digitale (M)
  10. visage (M)
  11. signature (H)
  12. paume (M)
  13. voix (H)
  14. saisie (M)

Remarque: H pour (Elevé), M pour (Moyen) & L pour les risques (faibles).

Conceptualisons la même chose dans les matrices comme pour la construction de base mentionnée précédemment & voir si elle correspond aux critères:

enter image description here

Facteurs de risques globaux :

L'attaque physique

Offrez une verre de champagne à la victime cible lors d'un événement physique social, et réussissez à récupérer le verre pour obtenir une image haute définition des empreintes digitales de la cible.

L'attaque de stockage

Toutes ces empreintes digitales doivent être stockées localement ou centra lly. Volez le téléphone5 de la victime cible et, via des interfaces physiques, récupérez le contenu interne et attaquez l'empreinte digitale stockée et cryptée. S'ils sont stockés de manière centralisée, puisque nous ne sommes pas dans l'espace-temps magique où vit 0 probabilité, ce stockage central sera cassé tôt ou tard.

L'attaque algorithmique

Comme toute autre technique d'authentification, la lecture, le stockage et la comparaison d'empreintes digitales utiliseront des algorithmes. Par conséquent, cette authentification est également exposée à des attaques algorithmiques.

Les méthodes susmentionnées comportent des risques. Il y a un point important concernant l'authentification biométrique que beaucoup d'installations commerciales respectent, mais qui n'est pas immédiatement évident: les banques ne devraient jamais se fier à la biométrie pour fournir à la fois l'authentification et l'identification. Les mesures biométriques sont utiles, mais elles ne sont en aucun cas uniques. Deux personnes peuvent ne pas avoir exactement la même empreinte digitale, la même géométrie de la main ou les mêmes motifs d'iris, mais les mesures sont souvent suffisamment faibles pour permettre des collisions. La biométrie doit être juste une partie d'un système d'authentification multifacteur & peut donc être adaptée lorsque 2FA & Biometric va côte à côte.

Autres limitations d'utilisabilité :

Outre ces risques, d'autres limitations sont les suivantes:

  1. Taux d'erreur - les fausses acceptations et les faux rejets sont encore trop élevés pour de nombreux types de biométrie.
  2. Acceptation des utilisateurs - encore peu appréciée des utilisateurs; Les différents problèmes de confidentialité sont encore assez élevés, et l'idée qu'une partie de votre corps est désormais un mécanisme de sécurité n'est toujours pas pertinente pour certains citoyens.

La question d'OP est comparable au mot de passe traditionnel - par conséquent, les schémas de mots de passe traditionnels sont moins probables que les & soient moins exposés aux surfaces de menaces que les mécanismes de sécurité biométriques antérieurs. L'utilisation plus conforme en gardant les mots de passe traditionnels & biométriques en option après les méthodes de connexion antérieures a réussi - pourrait être la solution.

Chercheur en sécurité ici: Je suis vraiment curieux de connaître vos recherches!Souhaitez-vous partager des liens vers des publications, des sujets d'intérêt en cours, etc.?
Comment la capture d'écran d'une table des matières est-elle liée au reste de l'article?Bien sûr, c'est une question de sécurité, mais cela me semble encore un peu déconnecté.
En outre, la table des matières montre une recherche de seulement 3 pages?Il est bon de dire que vous faites actuellement des recherches sur la région, mais montrer un travail de 3 pages n'a pas de sens.Je suggérerais de supprimer l'image.
Attendez @Zanon, ce n'est pas une visionneuse de documents intégrée?
-1
@ShritamBhowmick Je n'ai aucun commentaire sur le reste de la réponse.Je ne comprenais tout simplement pas ce que le TOC faisait là-bas, alors j'ai demandé.
@Anders le point de le détailler est de montrer qu'une recherche antérieure pertinente a été menée.De plus, ce n'est pas une page de 3 ... c'est un brouillon de base avec l'original qui sera publié récemment.
Il semble que [la voix est à peu près par la fenêtre] (https://www.youtube.com/watch?v=I3l4XLZ59iw) en ce qui concerne tout type de sécurité.
@Wayne Werner oui ça a l'air aime tellement Merci beaucoup de partager cette information précieuse contrairement au reste ... j'apprécie vraiment que vous puissiez ajouter plus de valeur à celui-ci.
roel
2016-12-06 15:36:04 UTC
view on stackexchange narkive permalink

Une empreinte digitale ne doit jamais être utilisée comme mot de passe. Il peut être utilisé comme identifiant. Vous ne pouvez pas modifier votre empreinte digitale. S'il s'agit de votre mot de passe et que votre compte a été compromis, aucun moyen de définir un nouveau «mot de passe» car vous ne pouvez pas obtenir de nouvelles empreintes digitales, mais ce n'est peut-être pas non plus idéal comme identifiant. Je ne savais pas, mais apparemment les empreintes digitales ne sont pas si uniques que vous l'avez dit dans votre message initial.

Vous pouvez changer de doigt et obtenir une nouvelle empreinte digitale avec une punaise de pouce et du jus de citron.
@cde Les scanners d'empreintes digitales fonctionneront-ils réellement sur un doigt déformé comme ça?Ils fonctionnent assez mal sur des empreintes digitales bien formées, je m'attendrais à ce que cela les aggrave encore.
@luaan dépend de la façon dont ils sont déformés.Si vous poncez ou mordez les collines et les vallées, alors non.Si vous les modifiez simplement, alors oui.
Utiliser une empreinte digitale comme mot de passe et ne pas pouvoir la changer est la raison pour laquelle il est si important d'utiliser du matériel de sécurité inviolable sur les scanners biométriques.Parce qu'une empreinte digitale est scannée et transformée en une sorte de flux binaire, et si c'était toujours la même chose, ce serait très mauvais.Donc, ces choses fonctionnent souvent avec une clé privée intégrée et en mélangeant l'empreinte digitale avec des sels aléatoires et de sorte que chaque numérisation d'impression produit une sortie différente, mais vérifiable.
cde
2016-12-06 11:56:27 UTC
view on stackexchange narkive permalink

Un mot de passe de n'importe quelle longueur est beaucoup plus sûr qu'une empreinte digitale, du moins aux États-Unis.

Vous ne pouvez pas être obligé de divulguer un mot de passe (la plupart du temps). Vous n’avez pas une telle protection contre le fait d’abandonner l’empreinte de votre pouce sur votre appareil verrouillé.

Pourtant, ces minuscules crêtes de peau que nous partageons tous étaient au cœur d’une Virginie affaire judiciaire la semaine dernière dans laquelle un juge a statué que la police, qui soupçonnait qu'il y avait des preuves incriminantes sur le smartphone d'un suspect, pouvait légalement forcer l'homme à déverrouiller son appareil avec son lecteur d'empreintes digitales. Alors que le cinquième amendement empêche les défendeurs de révéler leurs codes d'accès numériques, ce qui serait considéré comme un témoignage auto-incriminant, la biométrie comme les analyses d'empreintes digitales n'entre pas dans le champ d'application de la loi.

"Si vous êtes obligé de divulguer quelque chose que vous sachez, ce n'est pas correct », a déclaré Marcia Hofmann, avocate et conseillère spéciale du groupe de droits numériques Electronic Frontier Foundation. «Si le gouvernement est en mesure, par d’autres moyens, de collecter des preuves qui existent, alors il peut certainement le faire sans marcher sur les pieds de la protection constitutionnelle.»

Il ne s’agit pas seulement de déclarer, un tribunal fédéral l'a confirmé cette année seulement.

Bien sûr, cela dépend des lois de votre pays, comme le Royaume-Uni l'a récemment fait, même pas une ordonnance du tribunal n'est nécessaire pour vous forcer pour divulguer un mot de passe.

Pour répondre à l'un de vos points:

Bien qu'une empreinte digitale soit unique par personne, un mot de passe est unique par situation. Si j'ai votre empreinte digitale, j'ai votre e-mail, vos comptes de réseaux sociaux et vos informations bancaires. Où comme mot de passe je ne peux avoir que votre Facebook.

Pas tout à fait. Un scanner d'empreintes digitales peut suivre plusieurs empreintes digitales et les côtés du même doigt. Balayez dans un sens ou sur le côté et vous avez un nouveau point de données. Je peux facilement fournir plus de 100 empreintes digitales sur un scanner de type presse. Beaucoup plus sur un scanner à balayage. Et bien sûr , la personne typique n'a qu'une poignée de mots de passe utilisés, donc d'un point de vue social, une empreinte digitale et un mot de passe de la même personne moyenne sont les mêmes en pratique en termes de ce à quoi vous pouvez vous attendre pour y accéder.

Au moins au Royaume-Uni, vous pouvez être obligé de renoncer à vos mots de passe.Comparez https://en.wikipedia.org/wiki/Key_disclosure_law#United_Kingdom.
Les scanners d'empreintes digitales sont généralement capables d'identifier un doigt donné même lorsque vous le faites glisser d'une manière que vous n'avez pas utilisée pour l'entraîner sur l'empreinte digitale.Donc, non, vous ne pouvez pas facilement fournir plus de 100 empreintes digitales.Il serait insensé de penser que vous pourriez en fournir plus de 10.
@iheanyi, il est insensé de dire que lorsque quiconque utilise un téléphone ou un lecteur d'empreintes digitales d'ordinateur peut vous dire que c'est un sacré mensonge.
J'utilise des lecteurs d'empreintes digitales sur des ordinateurs et des téléphones depuis plus d'une décennie.Je peux vous dire que vous vous trompez.Parmi les nombreux appareils que j'ai eu, vous ne pouviez pas générer quelque chose de près de 100 ou à peine plus de 10 empreintes digitales différentes à partir des 10 que vous possédez.Si nous nous limitons aux lecteurs d'empreintes digitales au cours des 3 dernières années, je peux affirmer avec force qu'avec 10 doigts, vous ne pouvez obtenir que 10 empreintes digitales.
elsadek
2016-12-06 04:04:55 UTC
view on stackexchange narkive permalink

Comme mentionné dans le commentaire ci-dessus, l'empreinte digitale est un contrôle de sécurité «pratique»; cependant, il n'est pas fiable pour le contrôle d'accès à distance .
Lorsqu'il s'agit de l'authentification biométrique en général, il y a un facteur que les gens de la sécurité informatique ont tendance à ignorer: la proximité de l ' appareil biocapteur et du système qui utilise cet appareil pour contrôler l'accès.

vous vous promenez essentiellement avec la clé de sécurité sur vous à tout moment

Vous laissez donc vos empreintes digitales au hasard à n'importe quel endroit, ce qui signifie que votre l'empreinte digitale peut être récupérée et utilisée de la même manière qu'un mot de passe volé. Cela dit, un système qui utilise l ' empreinte digitale pour authentifier l'utilisateur distant est exposé au même risque que celui qui utilise le mot de passe . Le système distant ne peut pas vérifier si c'est un utilisateur légitime ou non qui est authentifié.

Cependant, même cela peut ne pas répondre à la question, mais lorsqu'un accès biométrique est utilisé sur place, nous pouvons identifier physiquement les utilisateurs, nous sommes donc sûrs que seuls les bons utilisateurs sont authentifiés et / ou autorisés.

WoJ
2016-12-12 18:59:10 UTC
view on stackexchange narkive permalink

Cela peut être aussi sûr (des conditions s'appliquent)

Un code PIN à quatre chiffres ou une empreinte digitale sont très bons à condition qu'il y ait quelque chose d'intelligent en place pour atténuer leurs petits espaces de clés .

En général, ce serait un mécanisme de limitation qui augmente le temps entre les tentatives de connexion suite à un échec d'authentification. Pour les versions iOS actuelles, les trois premières tentatives ne sont pas limitées, il s'agit alors d'une minute, 5 minutes, etc. Lorsque vous atteignez 10 tentatives (après 1 heure 36 minutes si mon calcul est correct), vous peut faire effacer l'appareil (si configuré ainsi).

enter image description here source

Cela couvre l'attaque en ligne. Qu'en est-il hors ligne?

S'il s'agissait simplement de chiffrer avec une clé dérivée de votre clé courte espacée (code PIN, empreinte digitale), alors les attaques hors ligne seraient faciles. La solution consistait à utiliser un TPM (qu'Apple appelle Secure Enclave ) qui

  • génère des clés longues (2048 bits et plus) pour le chiffrement
  • rend cette clé disponible (normalement au système d'exploitation, mais cela pourrait être un attaquant demandant la clé) uniquement après une authentification réussie (via l'empreinte digitale / le code PIN), qui est limitée comme ci-dessus.
Les attaques hors ligne peuvent être atténuées en utilisant la preuve de travail, un hachage très coûteux en calcul (comme bcrypt).Pas très cher pour 1 essai (quelques secondes), impossible pour une attaque par force brute
nigel222
2016-12-07 19:28:18 UTC
view on stackexchange narkive permalink

Ni l'un ni l'autre n'est plus sécurisé . Tout dépend des circonstances, comme l'expliquent d'autres réponses ici.

Ce qui est mieux, c'est d'utiliser les deux . Il s'agit d'une authentification à deux facteurs, a.k.a. "Quelque chose que vous avez et quelque chose dont vous vous souvenez".

Une empreinte digitale seule est inutile si elle ne permet que quelques tentatives pour deviner un mot de passe assez sûr. Un mot de passe volé est difficile à utiliser s'il ne peut pas être saisi sans être validé par l'empreinte digitale correspondante.

Personnellement, je déteste la sécurité des empreintes digitales, car il y a des gens brutaux qui vous couperont le doigt en premier et réfléchiront plus tard . Quand cela ne fonctionne pas, vous êtes toujours sans un doigt. S'il y a un compte financier ou un équipement de valeur derrière, je refuserai toujours de présenter mon empreinte digitale. Ma banque m'a donné un widget à piles pour les services bancaires en ligne. Pour me connecter, j'insère ma carte dans le widget et entre mon code PIN pour activer le widget. Ensuite, je m'identifie sur le site en ligne de la banque et il me donne un numéro que je tape dans le widget. Le widget calcule un autre nombre que je donne à la banque. Si ce nombre est comme prévu, j'y suis.

Pirater mon ordinateur n'aidera pas car le défi et la réponse sont différents à chaque fois et dépendent de la logique secrète (et variable dans le temps?) À l'intérieur du widget . Un voleur doit donc obtenir à la fois ma carte bancaire et mon widget (normalement l'un est chez moi et l'autre dans mon portefeuille), ainsi que mon code PIN et mon identifiant de connexion. Il est vulnérable à un cambrioleur qui pénètre dans ma maison et me menace, mais il est difficile de le casser d'une autre manière.

Si vous utilisez votre propre système, voici une prise gratuite pour l'application Google Authenticator (qui vous permet combinez un mot de passe avec un smartphone comme widget pour la sécurité de connexion, sans frais supplémentaires).

Craig
2016-12-12 01:01:42 UTC
view on stackexchange narkive permalink

La comparaison d'Apple "1 sur 10000 pour un code à quatre chiffres" semble un peu fallacieuse. Poppycock, dis-je.

Chaque caractère supplémentaire que vous ajoutez à ce mot de passe augmente la sécurité de manière exponentielle. Obtenez-le au-dessus de 10 ou 12 chiffres et devinez que cela devient une tâche assez lourde, certainement beaucoup plus sécurisée que 1 sur 50000. 10 ou 12 chiffres est difficile à retenir, dites-vous? 10 chiffres ne sont qu'un numéro de téléphone. 20 chiffres ne représentent que deux numéros de téléphone.

Touch ID est une question de commodité, pas de sécurité. Gardez également à l'esprit que quelqu'un peut toujours placer de force votre pouce sur ce bouton Touch ID, même si votre pouce est mort.

Le problème est qu'un code à 4 chiffres n'est pas du tout sécurisé. Dans ce cas, le lecteur d'empreintes digitales sera plus sécurisé, même s'il n'est pas réellement sécurisé.

Plus le mot de passe est long, plus la sécurité est forte. L'espace de recherche pour un code d'accès composé uniquement de 4 chiffres est de 11 100 permutations. Cela correspond à l'estimation 1: 10000 d'Apple. En supposant seulement 1000 suppositions / seconde, ce mot de passe est compromis en 11 secondes, tandis que l'empreinte numérique vous donne environ une minute.

Un mot de passe à 5 chiffres vous donne presque 2 minutes, 6 chiffres achètent 20 minutes, 7 chiffres achète sur 3 heures, 8 achète presque un jour et demi, 9 achète 2 semaines, 10 achète 4,24 mois, 11 achète 3,5 ans, 12 achète 35 ans, 13 achète 3,5 siècles et 14 achète 35 siècles. Un code d'accès à 15 chiffres, composé de tous les numéros, nécessiterait jusqu'à 35 300 ans pour être déchiffré. 16 chiffres peuvent prendre jusqu'à 353 000 ans. Bien sûr, le hasard signifie qu'il est également possible qu'un algorithme donné devine le bon code dans les 4 premières tentatives, mais c'est extrêmement improbable.

Bien sûr, les ordinateurs modernes utilisant des GPU peuvent effectuer des milliards de comparaisons par seconde, alors prenez ces années, siècles et dizaines de siècles avec un grain de sel. 16 chiffres, estimés à cent milliards de suppositions par seconde (ressources gouvernementales) dureraient environ un jour et demi. Vous amélioreriez la sécurité de ce mot de passe à 16 caractères en augmentant l'espace clé (en utilisant des lettres en plus des chiffres, des lettres majuscules en plus des lettres minuscules, etc.) idée.

Cela ne répond pas à la question et se concentre sur le code d'accès lorsque l'OP déclare spécifiquement que les codes d'accès ne sont pas son objectif.
@schroeder L'OP indique spécifiquement que les codes d'accès sont en fait son objectif, dans le sens où il pense que les codes d'accès sont plus sûrs que les lecteurs d'empreintes digitales.Et il a raison, en supposant que vous pouvez utiliser plus de 4 chiffres pour votre mot de passe.Bien sûr, nous jouons à un jeu de sémantique avec "mot de passe" vs "mot de passe".
"Quoi qu'il en soit, je ne suis pas intéressé par un mot de passe. Je suis intéressé par un mot de passe."La sémantique est clairement définie par le communicateur dans ce cas.
"Bien sûr, nous jouons à un jeu de sémantique avec" mot de passe "vs" mot de passe "."
Il est important de répondre à la question posée, pas à ce à quoi vous voulez répondre.
La question entière est sans objet si votre seule option de sécurité est un code PIN à 4 chiffres (par exemple, iPad 4), et la question est insuffisante ou naïve si vous utilisez un appareil où vos seules options sont la reconnaissance d'empreintes digitales * ou * un long code numérique(iPhone 5s / 6 / 6s / 7).Dans ce cas, si vous vous en tenez avec un code PIN à 4 chiffres, l'empreinte numérique est certainement plus sécurisée, mais si vous avez un code d'accès à 12 ou 14 caractères, c'est certainement plus fort que le lecteur d'empreintes digitales et un mot de passe * mot * avec des lettres etles nombres ne sont même pas une option.
Et encore une fois, le mot de passe contre le mot de passe est un jeu de sémantique.:) Je peux affirmer que j'ai effectivement répondu à la question.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...