Измените свой пароль и защитите себя от взлома экрана блокировки Android. Графические пароли популярные


DEF CON 23: Скажи мне, кто ты, и я скажу тебе, какой у тебя графический ключ на смартфоне

Человеческую предсказуемость сложно переоценить. И когда дело касается паролей, PIN-кодов и тому подобного, это может стать серьезной проблемой. Многие из нас используют в качестве паролей имена, даты рождения и прочие вещи, которые несложно угадать, это не говоря уже о совсем уж негодных паролях вроде «12345», которые до сих пор остаются на удивление популярны.

А что насчет графических ключей — мы настолько же предсказуемы, когда создаем их? Оказывается, что да, очень даже предсказуемы.

Исследователь Марта Логе (Marte Løge) из норвежской компании Itera (нет, к нашей газовой «Итере» эта компания не имеет никакого отношения) провела анализ того, какие графические ключи люди создают. Она просила участников исследования создать три ключа: для шопинг-приложения, экрана блокировки смартфона и банковского приложения. Результаты оказались потрясающе интересными.

Во-первых, прослеживается четкая связь между типом приложений и сложностью паттернов, которые люди создают для входа в них. Как это ни странно, люди используют для входа в смартфон более короткие графические ключи, чем для входа в банковское или даже шопинг-приложение.

Насколько мы предсказуемы, когда создаем графические #ключи для #Android, и как создать по-настоящему надежный?

Tweet

Во-вторых, множество людей (порядка 10% из нескольких тысяч участников исследования) используют паттерны, похожие на буквы, благо девятиточечная система весьма неплохо для этого подходит. Такие графические ключи абсолютно ненадежны и фактически являются прямым аналогом самых идиотских паролей вроде «12345».

Паттерны в виде букв — самые неудачные и самые легкоугадываемые

В-третьих, несмотря на то, что общее количество комбинаций паттернов составляет вполне внушительные 390 тыс. с небольшим, на самом деле количество вариантов для перебора можно существенно снизить благодаря человеческому фактору. Большая часть комбинаций — это ключи, в которых использованы восемь или девять точек из девяти имеющихся. Проблема в том, что такие ключи очень мало кто использует.

Несмотря на то что общее количество комбинаций выглядит вполне внушительно, следует понимать, что порядка 3/4 из них — это 8- и 9-точечные ключи, которыми в реальности редко пользуются

Средняя длина ключа — около пяти точек, что не так уж хорошо для надежной защиты. Такая длина дает количество комбинаций порядка 7 тыс., что очевидно хуже, чем даже простейший PIN-код из четырех цифр. Ну а самой популярной длиной графического ключа являются четыре точки, а это всего-навсего 1600 комбинаций.

Но и это еще не все: количество вариантов можно дополнительно снизить, поскольку можно с высокой вероятностью предсказать начальную точку паттерна. Примерно в половине случаев люди начинают паттерн с верхнего левого угла. Добавьте к этому нижний левый и верхний правый углы — и вы охватите 73% всех реально используемых людьми комбинаций.

Причем результаты почти не зависят от того, правша человек или левша, пользуется он устройством двумя руками (более вероятно для крупных экранов) или одной рукой (вероятно для небольших экранов). Цифры в любом случае очень похожие.

Еще один примечательный факт: женщины в среднем используют более слабые графические ключи, чем мужчины. И возраст тоже имеет значение: чем моложе человек, тем более вероятно, что он использует длинный паттерн. Таким образом, знание пола и возраста помогает предсказать, какой паттерн человек использует.

Какие практические выводы мы можем сделать из данного исследования? Основной таков: если вы пользуетесь графическими ключами для защиты экрана блокировки Android или каких-либо важных приложений, то лучшая стратегия — делать так, как не делает почти никто. А именно:

  1. Никогда не используйте очевидные комбинации, такие как паттерны в виде букв. Настолько слабый ключ — это все равно что полное отсутствие ключа или пароля.
  2. Для стартовой точки ключа используйте те точки, которыми наименее часто пользуются. Лучший вариант — средняя точка на правой стороне. Нижний правый угол тоже отличный выбор.
  3. Лучшая длина для паттерна — это восемь или девять точек. Во-первых, это значительно увеличивает количество комбинаций. Во-вторых, такими длинными паттернами мало кто пользуется, так что подбирать их будут в последнюю очередь.
  4. И, само собой, подумайте о том, чтобы перейти с использования графических ключей на цифро-буквенные пароли. Может оказаться, что пароль, даже достаточно длинный и надежный, запомнить куда проще, чем по-настоящему стойкий к подбору графический ключ.

Не забудьте проверить свой пароль! #PassChecker http://t.co/lbdRUBjYSw https://t.co/32L7nmX2qt

— Kaspersky Lab (@Kaspersky_ru) October 22, 2014

www.kaspersky.ru

Измените свой пароль и защитите себя от взлома экрана блокировки Android |

На данный момент Android является самой популярной мобильной операционной системой в мире, значительно опережая конкурентов. В 2014 году был произведён 1 миллиард устройств (на 800 миллионов больше чем у Apple, занимающей второе место). Android контролирует 82% мобильного рынка.

Отличные новости для Google, но это также означает, что баги и уязвимости могут привести к ужасающим последствиям, поскольку затронут значительную часть населения планеты.

К сожалению, в начале этой недели исследователи Техасского университета обнаружили очередной изъян в безопасности Android.

Сегодня мы взглянем на него подробнее и расскажем, какие меры защиты вы можете предпринять.

В чём проблема?

В современном телефоне на базе Android имеется три способа защиты экрана блокировки: ПИН-код, графический ключ и пароль. Новая уязвимость затрагивает пользователей, которые выбрали пароль.

Исследователи описали уязвимость в посте на сайте университета, сообщив: «Манипулируя достаточно большой строкой в поле пароля при включённой камере, атакующий можете дестабилизировать экран блокировки, вызывая вылет на домашний экран устройства».

На практике это означает, что потенциальный хакер может получить доступ к вашему телефону, списку контактов, данным приложений, информации в облачных хранилищах и другим личным данным, без необходимости применения сложных техник. Даже обычный человек, знакомый с современными технологиями, может взломать телефон, найдя его на улице.

Для осуществления взлома необходимо ввести набор случайных символов при помощи клавиатуры для экстренных вызовов, а затем постоянно нажимать кнопку «Сделать снимок». Это приведёт к неисправности экрана блокировки, в результате чего телефон перезагрузится на домашний экран пользователя.

Попав туда, хакер получит полный доступ к устройству, независимо от того, зашифрована ли файловая система. Он сможете даже активировать права разработчика.

Данный взлом демонстрируется в видеоролике ниже:

Находитесь ли вы в опасности?

К счастью, уязвимость присутствует не во всех версиях Android. Вы будете затронуты, только если пользуетесь устройством на базе Android Lollipop версии с 5.0 до 5.1.1.

Как уже упоминалось выше, хак работает, только если вы используете защиту паролем. Людям, предпочитающим ПИН-коды и графические ключи, не о чем беспокоиться.

Хотя эти два критерия, несомненно, ограничивают число людей, на которых может повлиять уязвимость, она затрагивает пользователей более всего заботящихся о безопасности и верящих, что длинный пароль гораздо лучше ПИН-кода или графического ключа. В обычных обстоятельствах они абсолютно правы, но эта дыра доказывает, что у любой защиты есть недостатки.

Что вы можете сделать?

Наиболее важная задача — как можно скорее защитить экран блокировки.

Уязвимость была исправлена в сборке LMY48M Android 5.1.1, выпущенной компанией Google.

Несмотря на доступность билда, несколько пользователей сообщили, что пока не получили свои обновления. Если вы входите в их число, посетите googlesource.com и загрузите сборку вручную.

Если у вас нет Nexus или вы ещё не получили обновление, вам стоит по крайней мере сменить пароль экрана блокировки на ПИН-код.

Почему нужно выбрать ПИН-код, а не графический ключ?

Графические ключи Android появились в 2008 году и применяются множеством людей. Однако не так давно исследователь предположил, что они нисколько не безопаснее очевидных паролей, вроде «пароль», «12345678» или «qwertyuiop».

Этим исследователем была Марте Лёге, выпускница Норвежского научно-технического университета. Она обнаружила, что 44 процента всех графических ключей начинаются в левом верхнем углу, в то время как 77 процентов ключей начинаются в одном из четырёх углов экрана.

Она также выяснила, что большинство ключей включают лишь пять движений, тогда как пользователям разрешено использовать до девяти. Это означает, что число возможных комбинаций уменьшается с 389112 до 7152. Если ключ содержит всего четыре движения, эта цифра падает до 1624.

«Люди предсказуемы», сообщила она. «При создании графических ключей люди руководствуются теми же принципами, что и при выборе ПИН-кодов или паролей».

Если вы всё же хотите использовать графический ключ, убедитесь, что он достаточно сложен. Кроме этого, избегайте инициалов ваших близких или домашних животных. Согласно исследованию Марте, используя эти инициалы, атакующий имеет шанс 1 к 10 угадать ключ всего за 100 попыток.

На изображении ниже вы можете видеть наиболее часто встречающиеся графические ключи. Если вы пользуетесь одним из них, немедленно смените его.

Выберите разумный ПИН-код

Это означает, что самым безопасным методом защиты вашего устройства на Android будет ПИН-код. Но вам всё равно нужно следовать основным принципам безопасности.

К примеру, убедитесь, что используете код, отличный от ПИН-кода вашей банковской карты или других ПИН-кодов. Так же как использование одного и того же пароля для всех ваших онлайновых аккаунтов увеличивает вашу уязвимость, применение одного ПИН-кода несколько раз снижает эффективность любой системы защиты. Вдобавок к этому, избегайте годовщин, дней рождения и повторяющихся цифр.

Microsoft тоже одобряет этот подход. Компания недавно рекомендовала пользователям Windows 10 использовать ПИН-код для входа в свои машины. Взломав ваш пароль, хакер получит доступ ко всей учётной записи Microsoft, тогда как ПИН-код даст ему лишь доступ к этому конкретному устройству.

А вы защитили себя?

Относитесь ли вы к числу пользователей, которых затрагивает данная уязвимость? Какие шаги вы предприняли для своей защиты?

Вызывает ли эта ситуация беспокойство касательно безопасности Android? Какие ещё уязвимости до сих пор не обнаружены? Учитывая фрагментацию операционной системы, их наверняка немало.

Возможно, вы обнаружили другие новые или уникальные методы авторизации?

Как всегда, мы с удовольствием вас выслушаем. Вы можете поделиться своим мнением и мыслями в комментариях.

allerror.ru

Как разблокировать графический ключ на Андроиде?

Если уже так случилось, что вы забыли пароль — разное бывает, то вы попали именно на нужную страницу. Опишу только несколько самых эффективных способов. Если вы откроете в поиске этот вопрос, то увидите, что материала много, но практически ничего не понятно. Я же выбрал лишь несколько способов, описал их подробно и добавил некоторые свои рекомендации.

Да, и если вы не хотите, как говорится «напрягаться», просто отнесите устройство в сервисный центр. Специалисты с легкостью выполнят все необходимые действия.

Содержание:

Аккаунт Google в помощь

Я решил начать с самого простого и эффективного способа разблокировки. Он будет полезен примерно около 80% владельцев android-устройств. Если честно, я не знаю ни одного человека из своего окружения, который имеет смартфон без учетной записи в сервисе Google, ведь это так удобно.

Первое, что нужно сделать, это ввести пароль несколько раз, для того чтобы сработал защитный механизм, дабы потянуть время. Но кроме этого вам также будет предоставлена возможность снять блокировку с помощью авторизации в Google. Итак:

  1. «Нарисуйте» графический пароль около 5 раз. Отметьте «ок» на уведомлении. Теперь появилась ссылка «Забыли графический пароль?», выберите ее.

2. Теперь введите учетные данные вашего аккаунта Google. Нажмите «Вход».

Примечание: как вы, наверное, и сами поняли — для того чтобы авторизироватся, вам нужен интернет. Что же делать если он выключен?

Его можно включить с помощью набора кода *#*#7378423#*#* (для этого нажмите на экстренный вызов). Теперь в «Service tests» выберите пункт WLAN. Все теперь осталось лишь подключить нужную сеть. К сожалению наглядно показать не могу — на моем смарте не действует.

Просто позвоните себе!

Этот способ действует только в устройствах с операционной системой от 4.0 и ниже (и то не на всех моделях, но попробовать все же стоит). Итак, вам нужно:

  1. Позвонить на свой номер. Принять вызов.
  2. Затем открыть строку уведомлений и нажать на значок настроек.
  3. Если получилось зайти в раздел «Настройки», просто выключите графический пароль.

Используйте приложение SMS Bypass 

Сразу хочу сказать, что очевидные и легкие способы закончились. Теперь, чтобы продолжить вам нужен root-доступ. Как именно его получить читайте в инструкции.

  1. Подключите интернет, как описано выше.
  2. У вас должна быть настроена учетная запись Google.
  3. Теперь войдите в Google Play Market с компьютера и установите приложение SMS Bypass. Оно платное, и стоит около 2 долларов. Но поверьте, это точно меньше, чем вам придется заплатить в сервисном центре.

4. Отправьте на номер заблокированного устройства SMS с текстом «1234 reset» (это стандартный текст).

5. Когда устройство перезагрузится, можно вводить любой код — он подойдет.

Сброс к стандартным настройкам 

Этим способом стоит пользоваться лишь в случае, если все предыдущие оказались нерабочими для вашего android-устройства (или же вам не жалко всех своих данных). После сброса устройство будет «как с магазина», без каких-либо напоминаний о том, что вы им пользовались. Читайте о сбросе в статье — «Делаем сброс системных настроек«.

Остальные способы

Для того чтобы сбросить графический пароль любым из неописанных выше способов нужно или же чтобы была включена отладка по USB, или же чтобы на вашем устройстве были заранее установлены и настроены некоторые приложения (например, SuperSU). Но так, как это маловероятно, я не считаю нужным расписывать все эти способы. Если это все же так, то вы точно готовились к этому моменту и сами знаете, что нужно сделать.

Как обезопасить себя от возникновения данной проблемы

Лучшим способом является тот же SMS Bypass. Поэтому если хотите обезопасить себя от возможных проблем вам нужно сделать вот что:

  1. Получите root-права на свое android-устройство.
  2. Купите и установите SMS Bypass.

Если вдруг когда-то вы забудете пароль, вы всегда сможете отправить на свой номер спасательную SMS.

Кроме этого, если вы читаете этот материал просто для ознакомления, то не забудьте и об аккаунте Google. Если у вас его нет — обязательно заведите!

И еще один важный совет из моего опыта: заведите на компьютере, простой текстовый документ и храните там данные о всех ваших учетный записях.

Краткие итоги

Описаны все основные способы. Но если у вас все же не получилось вернуть доступ к вашему устройству просто отнесите его в сервисный центр — это лучшее решение, хотя и платное!

ru-android.com

Графический пароль не дает смотрящему украсть себя / Хабр

В этой статье расскажу про свой дипломный проект на тему «Иконографический способ аутентификации пользователя. Можно ли пройти аутентификацию так, чтобы стоящий рядом человек, следя за вашими действиями, так и не смог пройти аутентификацию за вас». В этой публикации кратко расскажу, в чём суть проекта.

Постановка задачи

  • Разработать программу и реализовать криптографическую аутентификацию, при прохождении которой, сторонний наблюдатель так и не смог бы ее повторить;
  • Определить вероятность взлома, такой аутентификации.

Запоминание пароля

Прежде чем проходить аутентификацию, сначала надо выбрать пароль. Пароль выбирается из большого набора иконок и должен состоять минимум из трех различных иконок (далее они будут называться парольные иконки). В данном примере мы выбрали 6 парольных иконок. Теперь перейдем к самой аутентификации.

Аутентификация

Аутентификация проходит следующим образом. На панели случайным образом располагается общий набор иконок, среди которых будут 3 парольные иконки из выбранного нами пароля. Пользователь должен визуально найти три парольные иконки, мысленно соединить их линиями, получив треугольник и щелкнуть мышкой внутрь этого треугольника.

Далее все иконки перемешиваются, какие-то исчезают, какие то появляются новые, так же появляются новые парольные иконки из выбранного пароля (на панели может быть максимум 3 парольные иконки). И такую процедуру пользователь проделывает несколько раз, если он попал щелчком мыши внутрь треугольника заданное количество раз, то аутентификация считается пройденной. Если пользователь на любом этапе аутентификации промахивается, то аутентификация считается не пройденной и нужно проходить все этапы заново.

Сразу же появляется несколько вопросов:

  • Какова вероятность случайного попадания в парольный треугольник?
  • Сколько этапов аутентификации нужно пройти для надежной защиты?

Вероятность попадания случайного щелчка мыши в парольный треугольник

Проведем статистическое моделирование и выясним вероятность попадания щелчка мыши в парольный треугольник в 1 этап при различных соотношениях сторон.

Из данной гистограммы видно, что, чем больше парольная панель приближается к квадратному виду, тем вероятность взлома становится меньше и приблизительно равна 10%. Следовательно, наиболее предпочтительное соотношение сторон – 1:1.

Расчеты были проведены при ширине панели в 5, 15 и 20 ячеек для иконок. Однако полученные результаты практически не отличаются друг от друга.

Но 10% вероятности попадания в парольный треугольник слишком велика. Поэтому аутентификация и проводится в несколько этапов и получается, что на втором этапе аутентификации, вероятность взлома приблизительно равна 10^-2.

Настройки программы

  1. В программе можно настраивать насыщенность панели иконками, с одной стороны 100% насыщенность затрудняет поиск парольных иконок, с другой стороны при насыщенности менее 20% есть вероятность, что стоящий рядом человек может проанализировать и понять, какие иконки являются парольными. Оптимальная насыщенность панели иконками 40-60%;
  2. Для надежной защиты достаточно 5 этапов прохождения аутентификации 10^-5;
  3. Так же настраивается соотношение сторон панели.

Заключение

  • При отношении сторон окна ввода пароля 1:1 вероятность взлома минимальна. Однако, изменение отношения сторон вплоть до 0,8:1 не вызывает критического роста вероятности взлома;
  • Существенного влияния размера иконографической панели на вероятность взлома не выявлено;
  • Степень заполнения парольной панели должна лежать в пределах от 40 до 60%. Оптимальным значением заполнения является 50%, которое, с одной стороны, позволяет затруднить раскрытие пароля сторонним наблюдателем, а с другой стороны, не вызывает трудностей при поиске парольных иконок;
  • Проведение иконографической аутентификации в 5 этапов вполне достаточно для надёжной защиты большинства приложений. Для особо критичных приложений, требующих повышенных мер безопасности, можно проводить аутентификацию в 6 или 7 этапов.
  • Проведенные вычислительные эксперименты позволяют заключить, что для иконографической аутентификации, проводимой в 1 этап, вероятность взлома довольно высока и составляет величину порядка 0,1 (10%). Однако, при увеличении количества этапов вероятность подбора пароля убывает по экспоненте, и, например, для 5 этапов не превышает 10^-5.
  • При иконографическом способе парольной защиты, пароль, как таковой, по сети не передается, даже в зашифрованном виде. По сети передается только координаты щелчка мышкой в окне ввода пароля, и только сервер решает, попадает ли эта точка внутрь треугольника, заданного парольными иконками. Следовательно, даже полный перехват всей информации обмена терминала с сервером, не дает дополнительных данных для взлома пароля. Кроме того, пароль невозможно подсмотреть, так как, даже стоя у пользователя за плечом, нельзя узнать, внутри какого треугольника он кликнул. Следовательно, единственным возможным способом взлома иконографической защиты является случайный щелчок в окне ввода пароля.

Список источников

Идея для написания программы была взята отсюда. Были проведены статистические наблюдения и определена вероятность взлома парольного треугольника.

habr.com