Question:
Deviner le mot de passe de l'écran tactile par trace d'empreinte digitale
Lex
2013-05-16 18:09:00 UTC
view on stackexchange narkive permalink

Après avoir mangé du pain à l'ail chez une amie qui n'est pas consciente de la sécurité, elle a réussi à déterminer rapidement le code PIN pour déverrouiller l'écran de mon Samsung SIII.

Elle compris cela en tenant simplement l'appareil contre la lumière et en regardant le motif de graisse que mon pouce a laissé sur l'écran. Il ne lui a fallu que 2 tentatives pour déverrouiller l'écran.

Je suppose qu'elle n'aurait pas pu accéder à mon téléphone si j'avais gardé l'écran plus propre, ou si l'appareil ne pouvait être déverrouillé qu'en appuyant sur des chiffres, plutôt qu'en faisant glisser le doigt pour former un motif.

Est-ce un moyen d'attaque courant? Les mots de passe à motif de glissement de doigt sont-ils vraiment moins sûrs que les mots de passe à touches numériques?

Avoir un motif complexe peut donner plus de protection ... avoir juste une ligne simple ou un carré comme des formes réduit les possibilités de forçage brutal. donc avoir un motif comme le signe de l'infini est une bonne idée je pense
Merci pour le partage, c'est toujours formidable de voir comment la sécurité peut parfois être vaincue presque par accident.
@HSN. Bon point, surtout parce qu'il devient plus difficile de tracer d'où part le motif. Bien que je ne sois pas sûr à quel point cela dissuaderait quelqu'un de deviner, car il n'y a pas de verrouillage de compte pour plusieurs tentatives infructueuses.
"Mon clavier de sécurité sera en fait un scanner d'empreintes digitales. Quiconque regarde quelqu'un appuyer sur une séquence de boutons ou dépoussière le pavé d'empreintes digitales puis essaie ensuite d'entrer en répétant cette séquence déclenchera le système d'alarme." - Liste des seigneurs maléfiques
Mon enfant de 8 ans a fait la même chose avec mon SIII; Je suis retourné à la hâte à un code PIN ;-)
Mon Galaxy * a été * volé, et le type qui l'a volé * a * pénétré dans mon téléphone exactement de cette manière. Heureusement, il n'a pas réussi à faire d'autres dégâts avant que je change mes mots de passe Google.
En relation: J'ai essayé un modèle de connexion pour mon appareil Android, mais je suis rapidement revenu à un code PIN, non pas à cause de taches, mais parce qu'il était beaucoup plus facile pour un surfeur d'épaule (nos enfants) de voir et de se souvenir d'une forme qu'une série de robinets sur un pavé numérique.
Si je me souviens bien, dans certains jeux, comme Splinter Cell, une attaque de maculage sur le verrou de sécurité de la porte a été utilisée pour que le protagoniste ait accès - il a fallu attendre que le garde du corps entre le code et passe la porte, puis avec l'utilisation d'une lampe de poche, a pu le comprendre en trois tentatives.
Pourquoi y a-t-il eu une modification récente de cette question? J'ai regardé les modifications et cela semble inutile et une question de préférence stylistique par rapport à la fourniture de quelque chose de nouveau ici.
@Frank B Hmmm, je ne sais pas pourquoi il a décidé de le changer. Bien qu'il ait dépouillé ma syntaxe maladroite et mon charmant étranger sémantique, je dois l'admettre: c'est mieux.
Une autre raison de se concentrer sur sa nourriture en mangeant, au lieu de jouer avec Instagram!
Soit dit en passant, cette "attaque" peut également fonctionner assez bien sur des claviers physiques dont le code n'est pas régulièrement modifié. Là où je vivais, il était assez facile de voir quelles quatre touches du clavier à code d'entrée étaient utilisées, ce qui ne laisse que 24 suppositions possibles à la force brute.
Sept réponses:
NULLZ
2013-05-16 18:20:33 UTC
view on stackexchange narkive permalink

C'est ce qu'on appelle une "attaque de bavures"

Cela dépend vraiment de combien vous avez utilisé votre téléphone depuis que vous l'avez déverrouillé pour la dernière fois, mais le principe général est toujours valable. Si vous utilisez la fonction de modèle des téléphones Android, cela peut être particulièrement évident.

L’Université de Pennsylvanie a publié un document de recherche sur le sujet et a essentiellement conclu qu’elle pouvait comprendre le mot de passe plus de 90% du temps.

L'étude a également révélé que les «bavures de motifs», qui s'accumulent en écrivant le même mot de passe à plusieurs reprises, sont particulièrement reconnaissables.

De plus:

"Nous avons montré que dans de nombreuses situations, une récupération complète ou partielle des motifs est possible, même avec un" bruit "de maculage provenant de l'utilisation d'une application simulée ou une distorsion causée par un contact accidentel avec les vêtements,"

risque plausible, ce n'est pas une vulnérabilité particulièrement pratique car un attaquant a besoin d'un accès physique à votre téléphone. L'utilisation d'un code PIN sur un schéma peut réduire le risque que cela présente une menace, mais il existe toujours en fonction de la force de votre code PIN et de la propreté de vos mains / écran. Cependant, ces mêmes chercheurs postulent une autre attaque possible utilisant le résidu de chaleur laissé par le contact entre vos doigts et l'écran qui serait un tout autre problème.

Évidemment, nettoyer votre écran après chaque utilisation est une pratique (et non trop difficile) contre cette attaque spécifique. Je m'attendrais à ce que si vous avez utilisé votre téléphone (par exemple pour passer des appels / envoyer un message / tout type de navigation sur le Web), il masquerait également suffisamment les modèles / codes. Après avoir examiné mon écran, cela semble être le cas.

Pas de soucis. Je me souviens très bien de cette attaque d'après ce document de recherche. J'aime qu'@AJHenderson essuie fréquemment mon écran en conséquence :)
«90%», c'est inquiétant. Et intéressant: cela signifie également que les modèles de la plupart des gens ne sont probablement pas très complexes et donc brutalement exécutables.
@Luc J'ai vu deux modèles qui ne sont presque pas réplicables même quand on m'a dit le code. Vous pouvez en fait passer entre les points pour les codes de motif et, par conséquent, rendre les codes assez délicats ...
@Luc: Je pense que cela serait réduit si les motifs permettaient aux points de départ et d'arrivée d'être identiques, augmentant ainsi le nombre de motifs possibles par trace de maculage de 2 (avant-arrière) à 2 (N-1). Inutile de dire ... pas surpris.
"Evidemment, nettoyer son écran après chaque utilisation est une défense pratique (et pas trop difficile) contre cette attaque spécifique" ... surtout après le pain à l'ail.
Notez que le risque d'attaque de bavures varie également en fonction du type de couverture de l'appareil. Certains appareils ont des couvercles qui entrent en contact avec l'écran masquant efficacement le résidu
@SébastienRenauld; Je ne sais pas comment vous raisonnez ici. Étant donné une trace de maculage, il est assez facilement détectable où se trouvent les points de départ / d'arrivée. S'ils se chevauchent, il ne faudrait toujours que deux essais, même pour les cercles et les formes similaires. Gardez également à l'esprit qu'avec les attaques de maculage, il est même possible de dire la direction dans laquelle le balayage a été effectué, menant à un seul essai qui serait suffisant, étant donné que la trace de bavure est suffisamment claire.
@Mythio: Cela dépend du doigt de l'individu. J'ai des traces presque indiscernables sur mon TF300T en raison de doigts naturellement * très * gras. Cependant, ce n'est que moi. Mon point était principalement un point secondaire - ils pouvaient ajouter quelques multiples dans les modèles en autorisant les chevauchements.
Je mets aussi au défi quiconque de récupérer le code taché de mon téléphone après qu'il ait été dans ma poche à côté de mes couilles en sueur pendant quelques heures ...
randomiser les positions des touches de saisie de mot de passe à l'écran résoudrait ce problème, bien que cela rende la saisie du mot de passe un peu plus délicate.
Adi
2013-05-16 18:42:20 UTC
view on stackexchange narkive permalink

Une application appelée WhisperCore permet d’atténuer les attaques de bavures sur les téléphones intelligents. Il organise les numéros verticalement et vous demande ensuite d'essuyer l'écran afin de déverrouiller le téléphone, masquant les taches d'origine.

enter image description here

Si vous utilisez un motif pour verrouiller votre téléphone, une fois que vous avez entré le bon modèle, un écran plein d'étoiles. Faites glisser les étoiles en surbrillance pour déverrouiller le téléphone, en masquant à nouveau le motif de maculage d'origine.

enter image description here

Bien sûr, l'application fonctionne essentiellement comme un rappel obligatoire pour nettoyer votre écran, mais il le fait d'une manière qui rend moins ennuyeux le nettoyage de votre écran chaque fois que vous déverrouillez votre téléphone.

Source de l'image: Android Police

J'ai personnellement eu beaucoup de problèmes avec WhisperCore et les outils associés. J'ai essayé de le faire fonctionner sur plusieurs appareils Android il y a quelques mois en vain. Les choses pourraient cependant être différentes maintenant.
Ravi de voir que quelqu'un a déjà fait l'application que j'ai suggérée dans ma réponse. Faudra vérifier.
Attends une seconde. Pourquoi ne pas simplement mélanger les numéros sur le premier écran, puis demander à saisir un code PIN? Ensuite, il n'y a pas besoin du 2ème écran qui nécessite un nettoyage.
@ClaytonStanley Parce que nous, êtres humains, aimons nous souvenir de combinaisons insignifiantes de lettres et de chiffres. C'est pourquoi, après avoir utilisé votre téléphone pendant quelques semaines, vous arrêtez _actuellement_ de taper votre code PIN et vous commencez à effectuer une série de touches sur l'écran dont vos muscles se "souviennent". Il en va de même avec le mot de passe de votre système d'exploitation, car vous le saisissez plusieurs fois par jour, vous faites simplement des frappes rapides sur le clavier sans penser aux caractères réels de votre mot de passe. Imaginez maintenant si quelqu'un a changé les paramètres de disposition de votre clavier (Google allemand ou nordique).
@Adnan Parlez pour vous-même. Même avec des mots de passe communs à long terme, je les saisis en répétant le mnémonique que j'ai mémorisé au lieu de quelque chose comme "ASfy # wcltp13tbrtMIM". Devoir chasser / picorer sur un clavier Qwertz / Azerty / Dvorak / etc me ralentirait; mais ce que je mémorise, ce ne sont pas les positions des touches.
@DanNeely Je n'ai pas à le faire, la science parle pour moi. C'est inévitable, que vous y croyiez ou non, les tâches répétitives créent de nouvelles connexions dans votre cerveau. Combiné à un processus appelé `` apprentissage implicite '', vous apprenez à faire du vélo, à conduire une voiture, aux arts martiaux, à la position de l'interrupteur d'éclairage lorsque vous entrez dans une pièce sombre de votre maison et à votre mot de passe. La norme avec les mots de passe complexes est la mémoire musculaire, à l'exception des gens comme vous (ceci, bien sûr, pour ne pas voir que nous oublions complètement nos mots de passe). http://bit.ly/NZDMbQ, http://bit.ly/184ztVn, http://bit.ly/13zMyFf.
Ouais - j'utilise la mémoire musculaire pour la plupart de mes mots de passe, en particulier les longs. En fait, pour certains sur PC, je sais que je les ai tapés correctement à cause du bruit!
@RoryAlsop Même chose ici. Je ne peux pas réciter beaucoup de mots de passe, ni même les reconnaître de vue. Mémoire musculaire jusqu'au bout. Les voir pour la première fois, c'est comme "Oh, c'est donc ce qui a gardé mon compte en sécurité au cours des derniers mois ... attendez vite de le sortir de l'écran avant que je m'en souvienne!"
Rory Alsop
2013-05-17 00:53:55 UTC
view on stackexchange narkive permalink

Il y avait un article (je vais essayer de le trouver) qui donnait une très bonne explication d'une amélioration de la sécurité:

En utilisant l'un des chiffres au moins deux fois, dans un code d'accès de plus à 4 chiffres

En gros, l'option "glisser un motif" est très facile à voir - même à distance, elle peut être surfée sur l'épaule. Jetez un œil à cet article pour obtenir des informations intéressantes sur les techniques.

La plupart des utilisateurs finissent par choisir une épingle à 4 chiffres s'ils utilisent le option pin, c'est donc ce que la plupart des attaquants essaieront, et tenir le téléphone à la lumière vous permet de voir la broche assez clairement. Si toutefois vous avez une broche à 6 chiffres où 2 des chiffres sont utilisés deux fois, l'espace d'attaque devient assez difficile, car l'attaquant ne sait pas si vous utilisez une broche à 4 chiffres, un 5 ou même plus - ils sont susceptibles de commencer avec un 4 et sont plus susceptibles de verrouiller le téléphone que d'y entrer.

Gary S. Weaver
2013-05-17 00:13:30 UTC
view on stackexchange narkive permalink

Ce serait une bonne raison pour une autre méthode de déverrouillage qui rendrait l'action de déverrouillage différente à chaque fois. Par exemple, au lieu que les nombres 0-9 soient présentés comme suit: 

  7 8 94 5 61 2 3 0

, il pourrait les afficher sous la forme: 

  3 5 71 2 46 9 0 8

Au lieu de nombres, vous pouvez utiliser des formes. Au lieu de simplement frapper les formes ou les nombres, vous pouvez les réorganiser dans le bon modèle, bien que ce soit moins sûr car cela afficherait le bon modèle immédiatement avant qu'il ne soit déverrouillé; Cependant, si l'objectif était de mettre les nombres de la matrice dans un ordre où les sommes, etc. de certaines lignes étaient correctes, cela pourrait être encore plus sûr / moins évident pour ceux qui vous ont vu ou enregistré en train d'effectuer la séquence de déverrouillage.

Peut-être pour les personnes malvoyantes seulement, il pourrait lire les chiffres à voix haute (à travers leurs écouteurs). Pour ceux qui sont malvoyants et malentendants, le téléphone peut vibrer d'une certaine manière lorsqu'ils touchent différentes parties du téléphone pour déterminer quel numéro est lequel, puis ils touchent quelque chose une fois qu'ils savent quel numéro est l'endroit où entrer le code. Vous pouvez également le faire verrouiller les nombres dans une certaine orientation et ne changer que selon un calendrier prédéterminé pour qu'il soit moins difficile de se souvenir de la nouvelle orientation, ou même de le verrouiller complètement, même si cela serait susceptible d'attaques de bavures.

J'aime cette idée, mais elle peut réduire la convivialité pour les utilisateurs avec facultés affaiblies. Cela peut également être problématique pour les mots de passe longs ou les alphabets d'entrée plus volumineux. Avoir cela en option avec l'activation par défaut semble être une bonne fonctionnalité.
Il ne serait pas juste de les rendre plus vulnérables aux attaques. Je vais mettre à jour ma réponse, merci.
+1 pour savoir comment cela pourrait fonctionner pour les personnes handicapées.
Il existe quelques entreprises qui fabriquent des claviers avec des LED dans les touches qui font exactement ce que vous avez décrit. La première fois que j'en ai vu un, c'était dans les années 1990, donc ce n'est pas nouveau. J'ai un ami qui a fondé une société (aujourd'hui disparue) appelée GrIDSure qui, inspirée par ces verrous, avait un système où votre code PIN était un modèle et la randomisation du clavier servi en faisait un OTP.
Cyanogenmod a en fait cette fonctionnalité où la disposition des nombres est aléatoire à chaque fois. Malheureusement, la saisie de la broche prend beaucoup plus de temps.
AJ Henderson
2013-05-16 18:22:45 UTC
view on stackexchange narkive permalink

Pour ma part, j'ai toujours essuyé mon écran sur ma chemise après l'avoir déverrouillée spécifiquement à cause de cela (et parce que je trouve les marques de glissement de doigt ennuyeuses.) Mais oui, c'est très risqué si vous le déverrouillez et ne le faites pas au moins continuez à l'utiliser pendant un certain temps pour gâcher les marquages.

Un code PIN pourrait aider certains, mais vous pourrez peut-être encore voir les points touchés, ce qui réduirait considérablement la complexité de deviner le mot de passe . C'est toujours une bonne idée d'essuyer l'écran s'il y a des marques visibles.

Un autre bon contre pour cela serait s'ils ajoutaient une deuxième étape rapide pour tracer un autre modèle qui rendrait la reconnaissance du modèle plus difficile avant de déverrouiller .

S'il était disponible, un écran de déverrouillage du clavier qui randomisait la disposition des numéros à chaque fois vaincrait une attaque de bavure. Là où je travaille, les badgereaders que nous avons le font; cela ne prend qu'une seconde ou deux supplémentaires pour trouver où se trouvent les nombres cette fois et tapez la broche à 6 chiffres. OTOH si tout ce que vous avez est une broche de longueur standard, un attaquant pourrait utiliser des outils de force brute pour s'introduire et je soupçonne qu'une mise en page brouillée serait un obstacle beaucoup plus important sur un clavier alphabétique si vous saisissiez un mot de passe à la place.
Quelqu'un doit vendre une ligne de chemises avec des tampons en microfibre intégrés pour essuyer les écrans des appareils mobiles. :-)
@LarsH - peut-être qu'ils pourraient le faire comme la petite étiquette avec les informations sur le produit, vous pouvez simplement le retourner, l'utiliser, puis le ranger. Ou nous pourrions ramener avec un mouchoir dans la poche de poitrine, mais à la place un chiffon en microfibre. ;)
jerry
2013-05-17 00:27:10 UTC
view on stackexchange narkive permalink

J'ai essuyé mon écran chaque fois que je l'allume depuis un certain temps. C'est en partie à cause de ce problème et en partie pour augmenter la lisibilité en présence d'éblouissement. J'ai été très intéressé de découvrir qu'il existe des recherches réelles sur le sujet.

Alors que les écrans tactiles sont particulièrement sujets au problème des résidus physiques révélant des informations secrètes (malgré les améliorations qui ont été apportées à l'écran oléophobe revêtements), le problème peut également survenir avec d'autres méthodes de saisie . Les empreintes digitales peuvent être visibles sur la surface des boutons (matériels), des commutateurs ou des claviers, même sans l'utilisation d'équipement spécialisé.

Même si elles sont effacées, cependant, il y a un problème plus permanent. Je suis sûr que nous avons tous vu du texte qui a été effacé, une superposition de membrane déchirée ou un placage qui s'use sur un bouton fréquemment utilisé:

worn keypad

Dans un contexte de sécurité, ce type de problème signifie probablement que le mot de passe n'est pas changé assez souvent, mais j'en ai vu de vrais exemples. Il faut évidemment la changer avant que cette dégradation ne devienne visible à l'œil nu. Dans des paramètres de sécurité plus élevés, cependant, ce n'est probablement pas suffisant. Deux solutions possibles consistent à utiliser des boutons très durables et à égaliser le nombre de pressions sur chaque bouton avant ou après la saisie du mot de passe.

dr jimbob
2013-05-17 00:19:39 UTC
view on stackexchange narkive permalink

J'utilise les dix chiffres exactement une fois dans une broche à dix chiffres sur ma tablette, par opposition à un motif. Je ne garde rien non plus de valeur particulière sur ma tablette (la seule raison pour laquelle le mot de passe est là car un code PIN est obligatoire pour enregistrer les détails de configuration VPN avec Android - sans compter mon mot de passe utilisateur).

Remarque: l'utilisation d'une permutation des dix chiffres exactement une fois réduit considérablement l'entropie. Le nombre de permutations: 10! = 3 628 800, ce qui équivaut à peu près à une broche de 6,56 caractères, soit environ 3000 fois plus facile qu'une broche aléatoire à 10 chiffres.

De plus, je trouve qu'il est assez facile d'écouter un code PIN sur un pavé tactile lorsque j'utilise ma tablette pour me déplacer dans le métro, mais je trouve que c'est une défense raisonnable contre les attaques de bavures.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...