Инновационный логин Android'а крут, но насколько безопасен?



    Очень много ходило слухов и разговоров о новом механизме авторизации в ОС Android, но до недавнего времени было невозможно узнать, что же он представляет из себя на практике.

    В отличие от других телефонов, которые требуют ввода 4-значного числа для разблокирования, в Android'е мы видим девять точек организованных в квадрат и волшебную надпись: «Draw a pattern to unlock» (соедините точки в нужном порядке, чтобы разблокировать). И, по идее, достаточно лишь 4 соединенных точек для того, чтобы телефон послушно раскрыл перед владельцем все сокровенные данные. Давая огромное количество «шаблонов разблокировки» (а читатели, более сведущие в подобной математике, нежели я, наверное подскажут в комментариях сколько их может быть) Google намекает, что это очень удобный способ блокирования телефона.

    Проблема заключается в том, что многие счастливчики, уже державшие в руках первый «гуглофон» говорят о жирных следах от пальцев, остающихся на тачскрине, по которым злоумышленник может догадаться о вашем «пароле». А учитывая еще и тот факт, что большинство пользователей задают свои «точки разблокировки» начиная с левой верхней, двигаясь вправо или диагонально вправо, задача превращается в детскую загадку. По доступу, напомню, к персональным данным и аккаунту Google, а соответственно и почте, документам и прочей информации, которую вряд ли захочется с кем-то делить.

    Комментарии 68

    • НЛО прилетело и опубликовало эту надпись здесь
        +2
        А они особо и не придумывают нового… Когда есть куча денег — проще купить идею в зародыше и грамотно доделать =)
          +4
          А мне это вот что напомнило.
          В Корее подписывая контракт на сотовый, можно любой номер попросить, и если он не занят, то его дадут тебе. Хоть целый день стой и перебирай с менеджером варианты.

          Я был удивлен при этом, что они не красивые варианты цифр рассматривают, а именно красивую последовательность набора номера на кнопочном поле.
            +1
            И правильно делают!
            Руководствуясь тем же принципом выбрал себе номер из скудно представленных менеджером «одного_оператора»…
            запоминать удобную последовательность тактильно легче, чем красивый звук. имхо.
          +1
          ну так это как пароли со своим годом рождения или именем:)
          придумывайте сложные пароли. в гугле сидят далеко не дураки
            +2
            Ну тут все-таки психология сильно дает.
            Про день рождения пользователя, потерявшего мобильник, вы можете и не знать. А вот как не попасть в пару десятков самых «логичных» для пользователя комбинаций перемещения слева направо и сверху вниз (что автором и отмечено), при составлении своего пароля еще надо подумать. Все-таки одно дело придумать цифробуквенный пароль — к этому все более-менее привыкли, и совсем другое — уловить «стандартность» движения от точки к точке.
              +2
              Одно дело дисковым телефонном пользоваться — это все привыкли, а другое на Andoroid'ом, это совсем другое ;-)

              От пользователя нужно совсем немного мозговой активности, но не меньше чем необходимо, для того чтобы придумать, как он будет соединять точки.
                +1
                Мозговую активность желательно вообще проявлять везде… но увы, реальность сурова :)
            +8
            Если возможны петли и повторения, например два круга по периметру — то количество вариантов ограничено только количеством памяти телефона выделенной под это
              +2
              *объемом памяти*, извините за тавтологию
                0
                Ну и в таком случае несколько ослабляется проблема с отпечатками, если код достаточно сложный (много петель/повторений), то отпечаток мало поможет.
                  0
                  я бы сказал проблема вообще исчезает в этом случае. Понять по отпечаткам, сколько кругов было сделано по периметру — нереально :)

                  Да и вообще, всё это соменение в безопасности — притянуто за уши :)
                  Мало того, что, спереть телефон сразу после введения пинкода(если это вообще пинкод), но до любых последующих действий с аппаратом, например набором номера телефона или хождения по меню — невозможная ситуация.
                  Так еще если сравнить с набором на сенсорном экране пинкода цифрового — то его по отпечаткам определить как минимум не сложнее, а в некоторых ситуациях — гораздо проще
                  0
                  Думаю, это как раз и будет. Ведь ничто не мешает повторять цифру в пароле из цифр.
                  +2
                  Уж очень андроид красиво все это подсвечивает… помоему стоя рядом заметить правильные движения намного проще чем узреть цифры пин-кода, скрываемые практически тут же после ввода за звездачками
                    +4
                    А мне кажется все будет хорошо, если можно будет «отмечать» точки по диагонали + петли.
                      +3
                      и + проходить по одной точке несколько раз.
                        +2
                        я это и имел ввиду под «петлями» )
                          +2
                          Ох, прошу прощения, недопонял.
                      +9
                      Осталось только найти злоумышленников, которые смогут отличать жирные следы на тачскрине, которые возникают во время повседневной работы с телефоном от следов ввода пароля
                        –3
                        Хм, и часто Вы спиральки в нижней части экрана рисуете в повседневной работе? =) А вообще конечно угонять телефон надо тепленьким, пока улики не затерлись =)
                          0
                          кроме того вытирать экран можно только в залоченом режиме
                          т. е. последовательность действийпримерно такая
                          разлочил
                          использовал по надобности
                          залочил
                          протер экран и спрятал

                          причем такая последовательность дует довольно частой
                            0
                            ЗЫ не проще ли будет его «вскрыть» просто подключив кабель к компу и получив доступ к файловой системе?
                              0
                              Так пришли к тому, что проще будет, поработать с хозяином что бы он сам пароль показал. )))
                          –7
                          моё мнение со стажем.
                          Имею два айфона.
                          И не разу не удавалось подобрать пароль по «жирным» отпечаткам пальцев.

                          Что же теперь девиз у ГУгла должен быть:
                          «Купил курочку, помыл пальцы, ответил на звонок?»
                            +3
                            Интересно, где это Вы на яблофоне нашли подобную систему авторизации? А искать по следам на клавиатурке — это ничем не отличается от поиска на обычной десктопной клавиатуре.

                            З. Ы. «моё мнение со стажем.» — рыдаю =)
                              0
                              самое обычное мнение.

                              Что бы разблокировать айфон, нужно ввести код из 4х цифр код!

                              Попробуй найти отпечатки на экране!
                            • НЛО прилетело и опубликовало эту надпись здесь
                                +1
                                Тщательно вымойте руки, и приложите их к чистому оконному стеклу. Результат вас удивит :)
                                • НЛО прилетело и опубликовало эту надпись здесь
                                    0
                                    Сам поражаюсь :)
                              +6
                              а вы уверены что это именно так разблокировка, а не простая для предотвращения случайного нажатия?
                              • НЛО прилетело и опубликовало эту надпись здесь
                                +1
                                Действительно, не такая проблема, как мне кажется. Но если уж начнется массовый взлом, то гугловарежка всем поможет :)
                                • НЛО прилетело и опубликовало эту надпись здесь
                                    0
                                    Хорошо-бы вообще-то хотя бы источник указать, если не хотите постить как перевод
                                    www.techcrunch.com/2008/10/12/androids-login-is-cool-but-is-it-secure/
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                          0
                                          Видимо, неограниченно (см. выше комментарий maxshopen). Можно какой угодно «длины» (количество вершин) траекторию нарисовать.
                                            +1
                                            ага, только с пинкодом у нас 10^4 вариантов, а с рисованием система счисления первого тычка 9, следующих движений в среднем ~4. Так что линию нужно провести через 6 точек минимум…
                                            0
                                            А как вы предлагаете посчитать, если неизвестны начальные условия?
                                            Возможна ли например линия 8-5-6-9-5-1 (на цифровой клаве посмотрите её)? А 7 9 3 1 (без линий, по точкам)

                                            На видео показано только два варианта, оба без пересечений, без переходов по диагоналям, без повторов и без перескоков, т. е. только по прямой и непрерывно. Если возможны только такие варианты — то их ооочень мало. И их будет точно меньше, чем 344 — для буквенно-числового пароля в 4 символа.

                                            Но то, что это так — сомнительно, скорее последовательность может быть любой, но ограниченной как то разумно по длине.
                                            0
                                            И ещё такой «пароль» легче подсмотреть.
                                            Стороннему наблюдателю будет легче распознать простой жест, чем нажатия на кнопки экранной клавиатуры.
                                              +2
                                              Подсмотреть, а потом незаметно украсть? Хм… Странные картины рисуются, честно говоря. Обычно у нас происходит гораздо проще. Подходит гопник, несколько па, и вы ему уже рассказываете и про точки, и про день рождения, и про суперсекретный пароль.
                                              Паранойя все это. Четырехциферный код от пластиковой карты тоже не так уж и сложно подсмотреть, но что-то не было таких массовых хищений именно по этой причине.
                                                +1
                                                Не знаю что там у вас рисуется, но я не про гопников.
                                                К примеру, человек уходит в уборную оставив телефон в комнате, но не хочет, чтобы гости получили доступ к почте и смскам.

                                                Или вот например утеря телефона или незаметное хищение. В этом случае зачастую беспокойство вызывает не пропажа аппарата, а то, что ценные данные могут попасть в чужие руки. Тут блокировка даёт хоть какую-то надежду, что злоумышленники не будут возиться с подбором пароля, а просто отформатируют аппарат.

                                                Есть куча других, более убедительных, сценариев, разумеется.
                                                0
                                                бред какой-то. пинкод вводится при включении телефона, насколько я помню. неужели он не сотрётся от юзанья трубки?
                                                  0
                                                  Все верно. Нормальные пользователи вводят пин-код в среднем раз в месяц. Трудно представить, как при такой интенсивности ввода именно на этом месте будут разводы.
                                                    –1
                                                    При чем тут пин-код?
                                                      0
                                                      да при том, что это не блокировка клавиатуры, а блокировка самого телефона.
                                                        0
                                                        Пин-код — это блокировка сим-карты, а не телефона.
                                                          0
                                                          ну… т. е. да) но я хотел сказать что это не блокировка клавиатуры, а альтернатива вводу пинкода.
                                                            0
                                                            И таки да опять нет, ввод пин-код блокирует только информацию, содержащуюся непосредственно на сим-карте, код телефона блокирует вообще все содержимое самого телефона. Таки да разные вещи, очень разные :)
                                                    0
                                                    Интересно, насколько гибкой сделали эту ОС, можно ли например поменять эту систему блокировки, на то, что хочет пользователь? (просто код например)
                                                      +1
                                                      1. Как уже отметили, если возможны повторения, не такой уж он и нестойкий.

                                                      2. Вы уверены, что речь идёт о замене пин-кода?

                                                      3. Даже если так, достаточно ввести ограничение в три попытки, после которых пароль к сервисам автоматически очищается, и проблемы нет.

                                                      4. Почти уверен, что если это замена пин-кода, то будет и опция вводить его по старинке.

                                                      5. В пин-коде 4 цифры. Если смотреть на этот экран как на циферную клавиатуру, и если возможны повторения, то он куда более стойкий, чем пин-код.
                                                        0
                                                        Ролик этот и раньше видел, но всегда думал, что это замена блокировки телефона от случайного нажатия, а не замена пин-коду.
                                                          0
                                                          Напомнило :)

                                                          Gmail против «пьяных» писем
                                                          habrahabr.ru/blogs/google/41762/
                                                            +1
                                                            не совсем понимаю, как жирные следы могут выдать пароль? ведь тачскрин не только для его ввода используется.
                                                              0
                                                              ну подберите пароль такой..:

                                                                    *   *   *
                                                                    *   *   *
                                                                    *   *   *

                                                              все девять точек соедини 4-мя непрерывными прямыми линиям, не отрывая пальца от экрана (тачскрина). )))
                                                              ps. может по этой комбинации гугль бонус какой-нибудь подготовил?.. )))

                                                              pps. следующим этапом блокировки телефоном могут стать пароли типа: нарисуйте на плоскости трехмерную проекцию четырехмерного куба… :)
                                                                +1
                                                                Так:


                                                                Или так:


                                                                Это невозможно сделать быстро :))
                                                                  +2
                                                                  Да, это было к PPS :)



                                                                  А это к самой задаче :)
                                                                    0
                                                                    ну зачем лишать тех, кто не знает ответа возможности подумать… :) можно было ссылку на ответ дать )
                                                                  0
                                                                  Блин, я в банке подпись не могу 2 раза одинаково написать, а тут такое.
                                                                  –1
                                                                  Касательно вариантов — равносильно движению шахматного короля на поле из 9 клеток.
                                                                  То есть из угловых клеток у нас на выбор 3 варианта ходов.
                                                                  Из боковых 5.
                                                                  И из центральной клетки 8.
                                                                  Из девяти клеток: 4угловых, 4 боковых и 1 центральная.

                                                                  То есть вариантов самого первого хода не 9, а 4*5+4*3+8=40

                                                                  Второй ход: вариантов развития событий уже либо 3 либо 5 либо 8, в зависимости от начальных условий.

                                                                  Варианты ходов:
                                                                  1) с угловой на боковую (для следущего хода 5 вариантов)
                                                                  2) с угловой на центральную (для следущего хода 8 вариантов)
                                                                  3) с боковой на угловую (для следущего хода 3 варианта)
                                                                  4) с боковой на центральную (для следущего хода 8 вариантов)
                                                                  5) с центральной на угловую (для следущего хода 3 вариантов)
                                                                  6) с центральной на боковую (для следущего хода 5 вариантов)

                                                                  Ну давайте так: для 4-ходов 40*3*3*3(1080)<x<40*8*8*8(20480)
                                                                  А если бы мы нажимали на точки (с любой точки можно перейти не только на соседнюю, но и на любую точку включая саму себя) — то было бы 59 049 вариантов.
                                                                  Не забываем что первый ход — это две точки, а перескок с угловой на угловую — это два хода.
                                                                    0
                                                                    На некоторых телефонах клавиатура похожим образом разблокировалась. При проведении по диаганали по клавиатуре.
                                                                      +1
                                                                      Где то я похожее видел. Это было в игре system shock 2 — интерфейс для взлома. Только там покруче было, да и девайс мог взорваться, если неудачно взломал.
                                                                        +1
                                                                        Представляю — случайно смазал, и твой Android взрывается. :)
                                                                        +1
                                                                        ребят, это ж разблокировка экрана… какое еще взламывание
                                                                          0
                                                                          и если это даже вход в систему, то наверняка он опциональный, и можно заменить на стандартный цифровой код. Больше шумихи.
                                                                            0
                                                                            «Очень много ходило слухов и разговоров о новом механизме авторизации в ОС Android»…

                                                                            Не совсем верно сказать, что это авторизация. По аналогии с обычными мобильными телефонами, это механизм блокировки экрана с целью избежать случайного нажатия. С другой стороны, так же как в моём стареньком Сименсе, можно настроить разблокирование таким образом, что он каждый раз запрашивать pin.

                                                                            В общем, это разблокирование, которое в iPhone выглядит как слайдер внизу экрана, только, наоборот, более безопасное :)
                                                                              0


                                                                              А тут просто draw pattern to unlock… :)

                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                              Самое читаемое