Мнение: Графические пароли не сложнее традиционных Статьи редакции
В начале августа разработчик программного обеспечения Марте Лёге (Marte Løge) из Норвегии выступила с докладом Tell Me Who You Are and I Will Tell You Your Lock Pattern («Скажи мне, кто ты, и я назову твой графический ключ») на конференции PasswordsCon в Лас-Вегасе. Её работа была посвящена графическим ключам на устройствах Android, призванным заменить обычные пароли. На исследование обратило внимание издание «Хакер».
Лёге проанализировала около четырёх тысяч графических ключей Android lock Patterns (ALP) и сделала вывод о том, что в большинстве случаев они не более безопасны, нежели простейшие пароли, которые можно быстро подобрать.
Она попросила участников исследования создать три ключа: для блокировки смартфона, для интернет-магазина и для банковского приложения, — и обратила внимание на наличие связи между сложностью паттернов и типом защиты. Например, для разблокировки гаджета чаще всего используют более короткий ALP, нежели для приложений.
Около 10% испытуемых использовали пароли, напоминающие буквы. Такие ключи Лёге назвала самыми ненадёжными и даже сравнила их с паролями вроде последовательного набора цифр.
Общее число возможных ALP — около 390 тысяч, но фактически используется намного меньше, так как владельцы гаджетов редко активируют пароли из восьми или из всех девяти точек. Во многих случаях задействованы всего четыре точки, что даёт 1600 возможных комбинаций.
Исследовательница заявила, что с высокой вероятностью можно предсказать и начальную точку паттерна: 44% ALP начинаются в верхнем левом углу, 77% — в одном из четырёх углов экрана. Этот показатель не зависит от того, является ли пользователь правшой или левшой, а также держит устройство одной рукой или обеими.
Многие ключи направлены слева направо и сверху вниз, как обычный текст. На характеристики ключа также влияет пол и возраст пользователя: молодые люди чаще придумывают более сложные ALP, чем люди в возрасте, а у женщин пароли обычно проще, чем у мужчин.
Лёге дала ряд рекомендаций по тому, как сделать ALP безопаснее. По её словам, чем длиннее ключ, тем сложнее его взломать. Также стоит добавить в код пересечения, так как они усложняют подбор комбинации, и отключить опцию «показывать паттерн» в настройках безопасности гаджета на тот случай, если потенциальный взломщик заглянет через плечо.
Утечки паролей крупных сервисов часто доказывают, что многие интернет-пользователи пренебрегают безопасностью. Например, осенью 2014 года злоумышленники слили в сеть базу паролей «Яндекса», и самым популярным паролем в ней оказалась комбинация «123456».
"“Ну-ну” — сказал я жене, показывая расчёты. “Ну-ну” — сказала мне жена, показывая разблокированный телефон." - http://habrahabr.ru/post/174773/
Что-то я застрял на этой картинке, смотря на стрелочки, указывающие направление.
тоже. Но на букве O понял, что имеется в виду, что их пишут и так и так
Диаграммы Фейнмана прям
День важных мнений на TJ
Считаю очень недооцененной технологию tri-pin, которая используется в менеджере паролей OneSafe. ИМХО, очень изящное решение, которое является компромиссом между удобством и безопасностью.
Кто не в курсе, технология использует обычную на вид цифровую клавиатуру, на каждой кнопке которой, помимо цифр, указан также цвет и некая пиктограмма. Цифры всегда расположены в фиксированном порядке, а пиктограммы и цвета помещаются на клавишах случайным образом при каждом вводе пароля.
Создавая пароль вы можете использовать по своему усмотрению любую последовательность из цифр, цветов и пиктограмм (на сайте OneSafe рекомендуется кодировать в них некоторую осмысленную фразу). Таким образом, вместо 10 возможных символов (у обычного пин-кода) используется 30. Я не силен в этих ваших криптографиях и теориях вероятности, но считаю что на стойкости пароля это сказывается положительно, плюс его практически невозможно подсмотреть.
Как я уже сказал, технология, к сожалению, мало известна, к тому-же, скорее всего, является проприетарной и запатентована. Но при желании какая нибудь крупная компания могла бы ее и выкупить, или кто-то другой мог бы создать что-то похожее.
Пароль забуду через пару минут
Поэтому к созданию пароля нужно подходить творчески. Например пароль: "[1]-[2]-[красный]-[сердечко]" можно запомнить как "дама червей".
99% пользователям смартфонов пароли не нужны вообще! Потому что эти данные нахуй никому не нужны!
* Тезис не относится к шифрованию приложений, связанных с финансовыми операциями
А значит всё-таки ваше утверждение не работает.
Аргументируйте
"Тезис не относится к шифрованию приложений, связанных с финансовыми операциями" - гораздо больше людей, чем 1%, хранят на телефонах платёжную информацию, а следовательно, они интересны.
Такие приложения шифруются отдельными паролями. Иногда отпечатками. Я же говорил о стандартной блокировке смартфона
А вы не допускаете, что у любого в телефоне может найтись информация, которую он скрывает не от правительств стран или крутых хакеров, а от своих друзей и знакомых, например?) Почему безопасность вами рассматривается только на уровне интереса каких-то глобальных сил?
Смски от любовницы?
Ну например телефон где-то забуду или украдут. Генераторы ключей для двухфакторной авторизации, например. Доступ к смскам от различных сервисов, доступ к перепискам, фотографиям. Я, например, не хочу, чтобы мои личные фотографии видел кто попало или мою переписку читали те, для кого она не предназначена.
Или чтобы от моего имени рассылали какие-то сообщения моим друзьям с просьбой денег занять или хуйца соснуть.
А вдруг согласятся? Всё. В жопу пароли
Аргументация уровня "бог" - "мне не нужно, значит и другим не нужно". Ну не ставьте пароли, чё.
С телефона можно заиметь доступ к аккаунтам в соцсетях. Угнанная страница, например, вконтакте на черном рынке идёт от косаря, страницы молодых девушек - дороже. Вот Вам и "никому не нужны"
не то пишу. Не косарь, конечно же, столько стоит взлом. Сами странички что-то в районе бакса, кажется, не уверен, но это тоже деньги
А я думал дело в удобстве, а не сложности(
Считаю очень недооцененной технологию tri-pin, которая используется в менеджере паролей OneSafe. ИМХО, очень изящное решение, которое является компромиссом между удобством и безопасностью.
Кто не в курсе, технология использует обычную на вид цифровую клавиатуру, на каждой кнопке которой, помимо цифр, указан также цвет и некая пиктограмма. Цифры всегда расположены в фиксированном порядке, а пиктограммы и цвета помещаются на клавишах случайным образом при каждом вводе пароля.
Создавая пароль вы можете использовать по своему усмотрению любую последовательность из цифр, цветов и пиктограмм (на сайте OneSafe рекомендуется кодировать в них некоторую осмысленную фразу). Таким образом, вместо 10 возможных символов (у обычного пин-кода) используется 30. Я не силен в этих ваших криптографиях и теориях вероятности, но считаю что на стойкости пароля это сказывается положительно, плюс его практически невозможно подсмотреть.
Как я уже сказал, технология, к сожалению, мало известна, к тому-же, скорее всего, является проприетарной и запатентована. Но при желании какая нибудь крупная компания могла бы ее и выкупить, или кто-то другой мог бы создать что-то похожее и продвигать вместо традиционных пин-кодов.
Надо узнать в allsafe
Комментарий недоступен
А мне больше по душе Марта
Пока что безопаснее биометрических сенсоров еще ничего не придумали для телефонов.
Нет. Отпечатки пальцев мы оставляем везде и достаточно лишь однажды скомпрометировать один отпечаток, чтобы больше им нельзя было пользоваться. Комбинаций паролей множество, а отпечатков только 10.
Насколько я знаю, айфоноский сенсор считывает ещё и сетку капиляров под кожей, которую нигде просто так не оставишь.
И тем не менее сразу после выхода тач айди группа немцев разблокировала его, сделав силиконовый слепок по отпечатку, снятому с ручки двери, что обошлось им всего в 2 тысячи долларов (покупка оборудования, на котором такие отпечатки потом клонировать можно будет пачками).
Всего-то 2к долларов.
Я не знаю иронизируешь ты или действительно согласен, что это дёшево, но на самом деле это и правда очень дёшево. Цена взлома в 2 тысячи долларов (даже если после этого взлома оборудование тебе больше не пригодится) - это копейки.
Ну если копейки, гоу, взломай мой телефон)
Ты с какой-то странной стороны подходишь к вопросу. Я на взлом твоего телефона не готов потратить даже рубля, потому что там нет ничего для меня интересного. Речь идёт о том, что если в телефоне действительно присутствует важная информация, которую необходимо получить, то 2 тысячи долларов - это дёшево, потому что все остальные методы взлома либо дороже, либо более трудоёмкие.
Речь о том, что мало у кого присутствует инфа на 2к баксов.
И что дальше-то? Мы оцениваем стоимость инструмента. Инструменты всегда применяются только в определённых случаях теми, кому они нужны. И конкретно этот инструмент очень дёшев в сравнении с тем, чего он позволяет достичь. Если он не нужен, чтобы ломать твой телефон или мой, это не значит, что он вообще не нужен.
Я где-то писал, что он не нужен?
Ты писал, что это дорого, используя метод оценки "нужно ли это лично мне" - это неверный подход. Эффективность любого инструмента должна оцениваться в соответствии с задачей, для которой он применим. Если мне нужно привезти картошку из деревни, то очевидно, что фуру для этого покупать не нужно - это излишне в данном случае. Но это не значит, что фура - это дорого. В случае, когда мне нужно будет перевезти половину всей дачи куда-то, то это будет целесообразно и не дорого в условиях текущей задачи.
С ним принудить легче
В любом случае, чем безопаснее, тем менее удобно.
Какой пароль у этой девушки? Как бы не те, о которых она говорила как о ненадежных
Не удивлюсь, что криптолог не пользуется ключами вообще
О, белгородчанин привет
Мы – белгородцы! Не позорь наше Святое Белогорье
Комментарий недоступен
В оригинальной новости указано, что исследование проходило в рамках кандидатской диссертации. Как минимум, она могла тестировать студентов
https://bsideslv2015.sched.org/event/9b17c2285b59eac2cca5700c7462e327#.Vdh_z_ntmkp
Marte has recently obtained a Masters in Computer ScienceЭто не кандидатская, а магистерская
Комментарий недоступен