Скажи мне, кто ты, и я скажу тебе, какой у тебя графический ключ на смартфоне
Человеческую предсказуемость сложно переоценить, когда дело касается паролей. А что насчет графических ключей, мы так же предсказуемы, когда их создаем?
Человеческую предсказуемость сложно переоценить. И когда дело касается паролей, PIN-кодов и тому подобного, это может стать серьезной проблемой. Многие из нас используют в качестве паролей имена, даты рождения и прочие вещи, которые несложно угадать, это не говоря уже о совсем уж негодных паролях вроде «12345», которые до сих пор остаются на удивление популярны.
А что насчет графических ключей — мы настолько же предсказуемы, когда создаем их? Оказывается, что да, очень даже предсказуемы.
Исследователь Марта Логе (Marte Løge) из норвежской компании Itera (нет, к нашей газовой «Итере» эта компания не имеет никакого отношения) провела анализ того, какие графические ключи люди создают. Она просила участников исследования создать три ключа: для шопинг-приложения, экрана блокировки смартфона и банковского приложения. Результаты оказались потрясающе интересными.
Во-первых, прослеживается четкая связь между типом приложений и сложностью паттернов, которые люди создают для входа в них. Как это ни странно, люди используют для входа в смартфон более короткие графические ключи, чем для входа в банковское или даже шопинг-приложение.
Насколько мы предсказуемы, когда создаем графические #ключи для #Android, и как создать по-настоящему надежный?
Во-вторых, множество людей (порядка 10% из нескольких тысяч участников исследования) используют паттерны, похожие на буквы, благо девятиточечная система весьма неплохо для этого подходит. Такие графические ключи абсолютно ненадежны и фактически являются прямым аналогом самых идиотских паролей вроде «12345».
Паттерны в виде букв — самые неудачные и самые легкоугадываемые
В-третьих, несмотря на то, что общее количество комбинаций паттернов составляет вполне внушительные 390 тыс. с небольшим, на самом деле количество вариантов для перебора можно существенно снизить благодаря человеческому фактору. Большая часть комбинаций — это ключи, в которых использованы восемь или девять точек из девяти имеющихся. Проблема в том, что такие ключи очень мало кто использует.
Несмотря на то что общее количество комбинаций выглядит вполне внушительно, следует понимать, что порядка 3/4 из них — это 8- и 9-точечные ключи, которыми в реальности редко пользуются
Средняя длина ключа — около пяти точек, что не так уж хорошо для надежной защиты. Такая длина дает количество комбинаций порядка 7 тыс., что очевидно хуже, чем даже простейший PIN-код из четырех цифр. Ну а самой популярной длиной графического ключа являются четыре точки, а это всего-навсего 1600 комбинаций.
Но и это еще не все: количество вариантов можно дополнительно снизить, поскольку можно с высокой вероятностью предсказать начальную точку паттерна. Примерно в половине случаев люди начинают паттерн с верхнего левого угла. Добавьте к этому нижний левый и верхний правый углы — и вы охватите 73% всех реально используемых людьми комбинаций.
Причем результаты почти не зависят от того, правша человек или левша, пользуется он устройством двумя руками (более вероятно для крупных экранов) или одной рукой (вероятно для небольших экранов). Цифры в любом случае очень похожие.
Еще один примечательный факт: женщины в среднем используют более слабые графические ключи, чем мужчины. И возраст тоже имеет значение: чем моложе человек, тем более вероятно, что он использует длинный паттерн. Таким образом, знание пола и возраста помогает предсказать, какой паттерн человек использует.
Какие практические выводы мы можем сделать из данного исследования? Основной таков: если вы пользуетесь графическими ключами для защиты экрана блокировки Android или каких-либо важных приложений, то лучшая стратегия — делать так, как не делает почти никто. А именно:
Графические ключи так же предсказуемы, как пароли «1234567» и «password»
Реверс малвари
Многочисленные утечки данных не раз доказывали, что самые распространенные пароли (а также самые уязвимые), это всевозможные вариации на тему «password», «p@$$w0rd» и «1234567». Когда в 2008 году в Android появились графические ключи, казалось, они могут изменить ситуацию. Теперь становится ясно, что ситуация с графическими ключами мало отличается от ситуации с обычными паролями. Выпускница Норвежского университета естественных и технических наук Марте Лёге (Marte Løge) провела исследование данной темы, в ходе защиты магистерской диссертации. Свой доклад под названием «Скажи мне кто ты, и я скажу тебе, как выглядит твой графический пароль» Лёге зачитала на конференции PasswordsCon в Лас-Вегасе.
Так как графически ключи еще сравнительно молоды, и собрать большое количество примеров реальных ключей «из жизни» затруднительно, выборка у Лёге получилась небольшая – она проанализировала 4 000 Android lock Patterns (ALP). Тем не менее, полученные на выходе данные оказались небезынтересны.
«Люди предсказуемы. В случае графических паролей, мы наблюдаем тот же подход, которым люди руководствуются при создании PIN-кодов и обычных буквенно-числовых комбинаций», — рассказала Лёге на конференции. ALP может содержать не менее 4 узлов и не более 9, что суммарно дает 389,112 возможных комбинаций. Так же как в случае с обычными паролями, число комбинаций возрастает экспоненциально, вместе с длиной графического ключа.
| Длина графического ключа | Число комбинаций |
| 4 | 1,624 |
| 5 | 7,152 |
| 6 | 26,016 |
| 7 | 72,912 |
| 8 | 140,704 |
| 9 | 140,704 |
В целом, основные собранные данные таковы:
Лёге попросила опрошенных создать три разных ALP: для банковского приложения, для приложению для покупок и для разблокировки смартфона.
К сожалению, опрошенные мужчины и женщины, в подавляющем большинстве, создали ключи из 4-5 узлов. Наименее популярны у пользователей, по неясной причине, оказались пароли длиной 8 узлов, и даже пароли из максимальных 9 узлов набрали больше «голосов».
На иллюстрации ниже верхняя колонка – пароли мужчин, нижняя – пароли женщин:
Мужчины в целом придумывают более сложные и длинные пароли, чем женщины. Самые сложные пароли – у молодых мужчин. Иллюстрация ниже демонстрирует разницу в сложности паролей:
Однако количество узлов – не единственный важный фактор для создания надежного графического ключа. Специфическая последовательность соединения узлов также является ключевым моментом для такого пароля. Если присвоить узлам пароля числа, расположив их так же, как они расположены на клавиатуре обычного телефона, получится, что последовательность 1, 2, 3, 6 куда менее безопасна, чем 2, 1, 3, 6, которая меняет направление.
Мужчины и здесь выбирают более надежные комбинации, такие как последовательность 2, 3, 1. Женщины почти никогда не выбирают комбинации с пересечениями. Лёге отмечает, что людям, в целом, сложно запомнить паттерны высокой сложности.
Команда исследователей формализовала систему оценки сложности графических ключей еще в 2014 году, представив документ «Dissecting pattern unlock: The effect of pattern strength meter on pattern selection».
Опираясь на данную систему оценки надежности комбинаций, Лёге получила следующие цифры: самый ненадежный пароль среди опрошенных набрал 6,6 баллов, самый надежный – 46,8 баллов. Средняя надежность пароля составила 13,6 баллов.
Помимо прочего, графические ключи оказались подвержены той же «болезни», что и численно-буквенные пароли, в качестве которых пользователи часто используют обычные слова. Более 10% полученных Лёге паролей оказались обычным буквами, которые пользователи чертили на экране. Хуже того, почти всегда выяснялось, что это не просто буква, но первая буква имени самого опрошенного, его супруга(ги), ребенка и так далее. Если атакующий, пытается взломать смартфон и знает имя жертвы, все становится совсем просто.
«Было очень забавно видеть, что люди используют ту же стратегию запоминания, к которой привыкли, используя численно-буквенные пароли. Тот же самый образ мысли», — рассказала Лёге. Выходит, если атакующим удастся собрать достаточно большое количество графических ключей, они смогут воспользоваться моделью Маркова, что значительно увеличит их шансы на успех. Лёге не стала фокусироваться на данном методе взлома в своем докладе из этических соображений.
В заключение Лёге дала ряд советов, как сделать ALP безопаснее. Во-первых, в графическом ключе стоит использовать большее количество узлов, что сделает пароль более сложным. Во-вторых, стоит добавить пересечений, так как они усложняют атакующим подбор комбинации и помогут запутать злоумышленника, если тот решил подсмотреть пароль через плечо жертвы. В-третьих, стоит отключить опцию «показывать паттерн» в настройках безопасности Android: если линии между точками не будут отображаться на экране, подсмотреть ваш пароль станет еще сложнее.
masterok
masterok Мастерок.жж.рф
Хочу все знать
Если вы один из тех сотен миллионов, которые «пользуют» графический ключ, чтобы защитить свой девайс от несанкционированного доступа, то вам стоит пересмотреть меры безопасности и своё отношение к этому варианту.
Что такое графический пароль? Заместо числового пароля вам предлагается выдумать замысловатую фигуру, которую надлежит оформить, проведя пальчиком по экрану через любые 9 точек. Cмартфон можно разблокировать, повторив изначально заданную фигуру. Если Федот не тот, теряешь право на вход.
Раньше на телефонах «стояли» пароли. Потом появились более замысловатые способы защиты от вторжения. Ожидалось счастье человечества. Но вот графический пароль есть, а счастья нет.
Специалисты по информационной безопасности из Ланкастерского университета, Университета Бата (Великобритания) и Северо-западного политеха (г. Сиань, КНР) научились с помощью алгоритмов компьютерного зрения подбирать графический ключ для разблокировки смартфонов на базе «Андроида».
Для проверки методики программисты попросили 120 человек придумать графический ключ. Добровольцы ухищрялись как могли: меняли направление движения пальца, рисовали сложные фигуры.
Однако положение их было ужасно! Для анализирующего алгоритма неважно, как быстро, или как замысловато сформирован «рисунок» ключа. Главное, что есть злоумышленник, есть видеокамера, и всё записано на видео. «Скормив» это видео программе с разработанным алгоритмом мы получаем варианты графического ключа.
Надо заметить, что программистам удалось разблочить телефон в 95% случаев, причём на это ушло не более 5 попыток. Для повышения безопасности исследователи советуют всякий раз прикрывать второй рукой экран смартфона при его разблокировке. Также можно прибегнуть к обманным движениям пальцами, чтобы запутать анализирующий алгоритм вора.
А вот еще есть ролики, как разблокировать смарт защищенный графическим ключом:
Как открыть чужой графический пароль?
Способы разблокировки
Вариантов для снятия сложного пароля, коим является графический ключ, много. Но большая их часть в устройствах на базе Android требует прав администратора или сложных манипуляций, а для iPhone вообще не подходит. Часто навыков пользователя для них недостаточно. Однако существуют простые и действенные способы.
Способы разблокировки подходят далеко не для всех телефонов. Все зависит от года выпуска модели, версии Android и варианта прошивки.
Способ №1. PIN-код
Метод взлома графического пароля, рассчитанный на большинство пользователей. Чтобы им воспользоваться, нужно пять раз неверно нарисовать ключ. Устройство предложит снять блокировку другим путем, и одним из вариантов будет ввод пин-кода. Большинство пользователей смартфонов давно забыли, что такое PIN-код, и не настраивают его. В 95% случаев достаточно ввести стандартный код оператора связи: 0000, 1234 и тому подобные.
Важно помнить, что после третьей неудачной попытки ввести PIN телефон заблокируется.
Способ №2. Учетная запись
Альтернативой вводу PIN-кода служит разблокировка через аккаунт Google. После пятой неудачной попытки ввести графический пароль нужно выбрать этот вариант и забить данные аккаунта.
На многих смартфонах можно ввести e-mail и пароль от любого аккаунта Google, к которому имеется доступ. Это позволит отключить блокировку с помощью инструкции.
Способ №3. Smart Lock
Метод, рассчитанный на беспечных пользователей, озабоченных безопасностью. Если на устройстве включена функция Smart Lock, настроенная на разблокировку рядом с человеком, она автоматически разблокирует телефон. Это происходит при попытке войти в любой пункт строки состояния вверху экрана. Этот способ работает не всегда, иногда требуется перезагрузить устройство.
Нужно быть осторожным и не нажать на кнопку, которая принудительно активирует блокировку. Обычно она находится внизу экрана.
Способ №4. Меню заряда батареи и ADB Run
Способ снять блокировку, когда устройство разряжено. Несмотря на то, что безопасность превыше всего, у смартфонов на Android есть небольшая уязвимость. При появлении сообщения о низком уровне заряда появляется возможность войти в настройки:
Можно проверить этот способ без входа в настройки, выполнив последние два пункта. Часто «Отладка по USB» уже активна в смартфоне.
Способ №4. Сброс настроек
Радикальный способ избавления от графического пароля. Для того чтобы им воспользоваться, понадобится выключить телефон и снова включить его, удерживая комбинацию кнопок. Сочетаний немного — одна из кнопок громкости и включение питания. Дополнительно используется кнопка «Домой», если она не сенсорная.
Смартфон загружается в режим восстановления, в котором можно провести Hard Reset или Factory Reset — полный сброс настроек телефона до заводских. Прежде чем это сделать, проверьте, вставлена ли SD-карта. Если нет — установите ее в разъем, снова зайдите в меню и нажмите Backup User Data. Смартфон сохранит все данные на карту памяти, и ее на всякий случай лучше извлечь.
Резервная копия сохраняет только настройки приложений из внутренней памяти на внешнюю. Остальные данные, включая любые пользовательские файлы, не сохраняются.
Далее нужно нажать и подтвердить Wipe Data/Factory Reset. Это приведет к полному обнулению содержимого внутренней памяти. Через это же меню можно восстановить настройки, нажав Restore User Data. В большинстве версий Android данные восстановятся, а пароли и системные настройки — нет.
Как узнать пароль от телефона. Код, рисунок, даже текст
Вот вы поставили пароль на смартфон. Неважно, какой: 6-значный, текстовый, рисуночком или вообще скрытыми нажатиями на области экрана.
Думаете, он непробиваем? Ничего подобного. Есть немало методов узнать его, и необязательно подсматривать за вами через плечо.
Злоумышленники могут украсть ваши пароли у всех на виду, даже когда на них смотрят камеры.
Как не допустить этого?
Достаточно простого тепловизора
Вы ввели пароль, затем просто убрали смартфон. Ученые из Штутгартского университета совместно с коллегами из Мюнхенского университета Людвига-Максимилиана доказали, что это небезопасно.
Вооружившись компактным тепловизором, ученые смогли считать введенный пароль с экрана смартфона. Через 15 секунд после ввода, PIN-код из четырех цифр распознавался в 90% случаев. А графический ключ получалось угадать почти всегда даже через 30 секунд.
Если спрятать тепловизор в рукаве или замаскировать его под игрушку, никто и не подумает, что проходивший мимо смартфона человек считал код.
Защититься ученые предложили случайными свайпами по экрану (b). Среди аппаратных способов – повышение яркости дисплея на несколько секунд (a) или резкий рост нагрузки на процессор (c). В тепловизоре такое выглядит следующим образом:
Можно вычислить пароль по масляным следам
Камера с высоким разрешением способна сделать качественный снимок, на котором можно будет распознать масляные следы от пальцев на экране смартфона. Ещё в 2010 году специалисты Пенсильванского университета описали этот способ.
Сегодня на такое способна даже любительская фотокамера или хороший смартфон. Не составит труда сделать вид, что за обедом вы снимаете не смартфон коллеги, а свою еду для Instagram.
Такой метод лучше всего распознает следы от ввода графического ключа, чуть сложнее – PIN-код или цифро-буквенный пароль. Если это не слово, фраза или дата рождения, будет слишком много вариантов порядка букв и цифр.
Вообще, графический ключ Android – самый небезопасный
Чем сложнее графический ключ, тем проще его распознать, утверждают исследователи. Достаточно сесть сбоку от жертвы на расстоянии до 5 метров и банально снять на видео процесс разблокировки.
Затем видео загружается в специальное приложение. Оно анализирует движения пальцев и предложит до пяти вариантов ключа. В 95% случаев один из этих ключей правильный.
Ваш пароль может «слить» сеть Wi-Fi
Бывший технический директор компании SpringSource Адриан Колье рассказал, как перехватить PIN-код с помощью анализа сигнала Wi-Fi. Технологию он назвал WindTalker.
Колье установил, что движения пальцев по экрану влияют на сигнал Wi-Fi. Если злоумышленник создаст точку доступа, то он сможет отследить эти микропомехи.
В эксперименте Колье удалось взломать аккаунт Alipay, платёжной системы компании Alibaba. Приложение выдало ему три варианта пароля, и один из них подошел.
Точность метода – 68%. Чем больше данных, тем точнее анализ. Чем больше попыток ввода допускает приложение, тем больше шансов ввести правильный пароль.
Движения фитнес-трекера или умных часов тоже «сдают» пароль
Если хакер установит специальный сканер рядом с вашим рабочим местом, банкоматом или терминалом, он сможет получить пароль или PIN-код, отследив движение ваших рук по фитнес-трекеру или смарт-часам.
Эксперимент провели сотрудники Технологического института Стивенса и Бингемтонского университета (США). Они разработали сканер, отслеживающий электромагнитное излучение от датчиков в смарт-часах и трекерах. Данные со сканера передавали по Bluetooth.
Результаты сканирования обрабатывали в приложении, которое определяет до 5 тыс. ключевых движений. Для создания алгоритма задействовали двух десятков пользователей, две модели умных часов и фитнес-браслет со стандартным девятиосным акселерометром.
С первой попытки пароль распознавался в 80% случаев, со второй (если пользователь два раза вводит одну и ту же комбинацию) – в 90%. Чем больше сенсоров в носимом устройстве (гироскопов, магнитометров, акселерометров), тем выше точность. Положение руки на неё не влияет.
Даже скриншоты выдадут ваш пароль
Ваш компьютер технически может сделать скриншот в любой момент, в том числе когда вы вводите пароль. Возможность еще в ноябре 2017 года обнаружил основатель компании Fastlane Tools Феликс Краузе.
Скриншот делает функция CGWindowListCreateImage. Разрешения от пользователя она не требует.
Вирус, который снимает скриншоты, может работать в фоновом режиме. Он всё равно будет иметь доступ буквально к каждому пикселю.
Переходим к настоящему взлому. MITM-атаки
MITM (Man-in-the-middle) – атаки типа «человек посередине». Чаще всего для перехвата паролей и кук (cookies) с помощью атак этого типа используют снифферы вроде Intercepter-NG.
Перехваченные данные позволяют заходить в чужие аккаунты, видеть загруженные файлы и т.д. Кроме того, приложение позволяет принудительно удалить куки пользователя, заставив его повторно пройти авторизацию.
Раньше инструмент позволял перехватывать даже пароли от iCloud. Но разработчики Apple уже пофиксили это.
Другие способы перехвата трафика (в том числе паролей) также существуют. Даже если это пароли от HTTPS-ресурсов. Главное, чтобы устройство жертвы находилось в той же Wi-Fi-сети, что и устройство хакера.
Как защититься от таких хардкорных методов
Также существуют приложения, которые автоматически отправляют данные о злоумышленнике, который неправильно ввел пароль от вашего смартфона. Одни из самых популярных – Prey Anti-Theft для iOS и Lockwatch для Android. Они бесшумно делают фото и отправляют его вам на e-mail вместе с GPS-координатами. Главное, чтобы GPS и доступ в интернет были активны.
Ксения Шестакова
Живу в будущем. Разбираю сложные технологии на простые составляющие.
В смартфонах Android нашли скрытую видеорекламу, которая разряжает батарею
Все фотожабы с Тимом Куком и новым iPad mini. Родился новый мем
iMessage в iOS 15.2 научился скрывать обнаженные фото
Вышла iOS 15.2. beta 2 для разработчиков. Что нового
Microsoft показала ноутбук Surface SE за 250 долларов. Его очень легко ремонтировать
Тим Кук предложил перейти на Android всем, кто хочет устанавливать приложения в обход App Store
Тим Кук признался, что давно владеет и пользуется криптовалютами
Что водители Яндекс Go знают про пассажира. Зачем нужен рейтинг
WhatsApp запустил сквозное шифрование для резервных копий чатов
Apple заявила, что для Android существует в 47 раз больше вирусов, чем для iOS
🙈 Комментарии 30
Все, гораздо проще, есть уйма способов, что бы вы сами разблокировали свой смартфон “добровольно”, а технология Face iD – так вообще все упрощает )))
Удачи вам в этом нелегком деле
Для андроида мудреные способы не нужны. Любой смарт взламывается за 5-10 минут, если к нему есть физический доступ. Если нет – то задача на немного усложняется, но ничего невозможного нет.
Паяльник откроет любые пароли
@ɬ์์ɬ์์ɬ์์ɬ์์✯̭J̭҉̭̲–̭҉̭̲Ḽ҉̭̲I̭҉̭̲ ̭̭G̭҉̭a̭̭ ̭̭҉̭̭̭✯͜͡ɬ์์ɬ์์ɬ์์, инф-без изучал, так что мимо )
А еще могут дать по голове, затащить в темный чулан, и с помощью паяльника выудить все ваши коды и пароли.
Как защититься от такого хардкорного метода??
Не выносите телефон из дома., при каждом удобном случае говорите во все услышанье что телефона при вас нету, хорошо поможет футболка с надписью “Телефон оставил дома”.
А если все таки пришлось вынести телефон из дома (может быть и такое) то ни в коем случае не доставайте его из кармана, демонстрируя свою состоятельность, иначе вы немедленно привлечете внимание потенциальных грабителей и жуликов. Не забывайте, есть много мест (например туалет) для уединения с телефоном, где можно им пользоваться, не привлекая внимания, в отсутствии посторонних глаз.
Статья для женщин, чтобы могли наши телефончики разблокировать наконец-то?
отпечаток и пароль с повторяющимися цифрами и удачи)
Хех.. у меня там пароль из 8 символов с разным регистром.
Причём случайный набор.
Touchid и Faceid решают эту проблему
Вытирайте чаще свои побрякушки, а то с таким количеством сала не только пароль высечь по отпечаткам на экране – картошку пожарить легко.
Статью параноик писал. 4-х числовой пароль подбирается до 10000 раз, даже если знать 4 цифры с трех раз не угадаешь. А дальше телефон просто блокируется