大多数现代(和面向平板电脑的)操作系统现在提供了除强密码以外的其他登录方式。例如,iPhone 提供 4 位 PIN,Android 设备提供此和“图案锁定”,Windows 8 设备还提供“图片锁定”。
显然,这些密码并不是非常安全,因此(与银行卡一样)某种锁定方式适用。对于 iPhone,延迟会大大增加,而对于 Windows,PIN 选项被取消,只剩下密码输入选项。
我不清楚的是这些方法实际上是如何得到执行的。是什么阻止了某人在操作系统之外攻击系统?或者(在“最糟糕”的情况下),只是简单地复制存储并将图像重新加载到原始设备上?我的理解是,即使在 Windows 系统上安装 Bitlocker 也不能防止后者……或者我错了,TPM 芯片有什么聪明之处吗?
另外,作为一个半相关的问题:Windows 显然会根据登录密码加密凭据(例如凭据管理器中的凭据)。但是由于 PIN 可以绕过登录密码,这是否意味着登录密码在某处被弱加密(针对 4 位 PIN)?
谢谢,
克里斯
一些移动设备提供设备加密来保护它们,与用户输入的密码/密码相关联。当在一定(少量)错误尝试后绑定到设备擦除时,它们可以提供一种有效的机制来保护在“丢失/被盗设备”情况下保存在设备上的数据。
以 iOS 设备为例,如果无法在设备启动之前访问设备存储,或者通过拆卸设备移除其存储然后破解密码,则无法轻松绕过这种保护装置。
现在使用 4 位密码或模式锁定会大大降低提供的保护,因为它增加了攻击者能够在锁定发生之前猜测凭证的可能性。对于密码,事实是大多数用户不会选择随机数,而是基于日期(例如出生年份),这增加了攻击者在可用尝试中获得正确密码的机会。
对于图案锁定,有研究表明图案在屏幕上的指纹油脂中可见,除非屏幕始终保持良好清洁。
因此,如果您使用合适的密码并在多次错误尝试后擦除设备,我会说安全性是合理的,除非攻击者对该平台有一个漏洞,允许他在设备启动之前访问设备存储..
您错过了各种移动操作系统的锁屏点。
对于偷了您的手机并有无限时间攻击它的攻击者,它们不是有效的威慑。但是,它们可以有效地阻止碰巧经过并且只能在短时间内访问您的手机的偶然攻击者。
Kos 去年在 Derbycon 上展示了针对 Android 的 P2P 攻击,只需几秒钟。PDF 警告: http: //kyleosborn.com/android/AndroidPhySec.pdf这是来自 Hak5 的演示视频http://hak5.org/episodes/hak5-1205(科斯从 6:55 开始)。
很多时候都使用图案锁定,有一些方法可以让你看看它,看看油脂涂片上的图案是什么。iOS 通常会绕过需要一些复杂步骤的锁屏,但这取决于版本。如果练习,您可能需要 30 秒才能解锁某人的手机并从中获取您想要的任何信息。
模式锁的安全性将在很大程度上取决于 a) 它是如何实现的,b) 用户选择多长时间和什么路径。您正在寻找的有趣的度量标准是一个称为熵或随机性的概念。
如果熵最大化,那么每个选择都应该与先前的选择无关,并且猜测模式的难度将取决于可能模式的数量。假设您有一个 3 x 3 的网格并且可以翻倍,那么您有 9 个选项作为第一个选项,然后您可以为每个节点提供 3、5 或 8 个选项。一个相对较短的模式仍然可以在数十万种可能性中出现,但它仍然不是真正随机的密码会给你带来什么。
也就是说,大多数人的密码都很弱,只要你对一次可以进行多少次猜测有一个相当低的限制,即使是几十万也将是一个很好的随意威慑,尽管我不会。不建议用它来保护核发射代码。更大的问题可能是肩部冲浪模式的易用性。