Перейти к содержанию

Какой блокировкой лучше защитить Android-смартфон | Блог Касперского


Рекомендуемые сообщения

В современных Android-смартфонах доступна масса способов блокировки экрана. Можно использовать пин-код или пароль, установить графический паттерн, разблокировать смартфон отпечатком пальца или даже лицом. От такого разнообразия легко растеряться, поэтому давайте разберемся, какой способ наиболее безопасен, а какой лучше использовать на практике.

Пин-код

Современные операционные системы эффективно препятствуют подбору пин-кодов — ограничивают количество попыток ввода и увеличивают интервал между новыми попытками. Поэтому в теории пин-код — особенно длинный, из 6 или 8 цифр — вполне может быть достаточно безопасным вариантом защиты смартфона.

Но есть пара нюансов. Во-первых, для того чтобы пин-код был надежным, ему неплохо бы быть случайным. Большинство же людей склонны устанавливать что-то легко угадываемое, чаще всего связанное с датой рождения. А это существенно упрощает процесс подбора.

Во-вторых, чтобы пин-код хорошо защищал ваш смартфон, он должен храниться в тайне. Современный человек разблокирует смартфон очень часто — несколько сотен раз в день, каждый день. Так что если кто-то задастся целью подсмотреть ваш пин-код, ему будет несложно это сделать.

 

Посмотреть полную статью

Ссылка на сообщение
Поделиться на другие сайты
Quote

Кроме того, недавно исследователи обнаружили во фреймворке этого способа аутентификации ряд уязвимостей. BrutePrint — атака, основанная на их эксплуатации, — позволяет подобрать отпечаток пальца.

Нет. Ошибки связаны с реализациями производителей телефонов, а не с Android Framework. К тому же атака требует физического проникновения внутрь телефона. Устройство нужно разобрать, подпаяться к шине и надеяться, что за это время телефон не выключится. Если он выключится, то атака становится невозможной вовсе.

 

Quote

К сожалению, для Android нет полноценного аналога уже хорошо себя зарекомендовавшей технологии Face ID, используемая в айфонах.

Есть и давно. Использование же её лежит на производителе: хочет - делает, не хочет - не делает. Автор путает не связанные вещи, которые для пользователя выглядят похоже. В старших версиях Android добавилась ДОПОЛНИТЕЛЬНО упрощённая процедура распознавания лица. Точнее, она была очень давно, ещё с версии 4, потом её убрали, заменив на полный аналог FaceID от Apple (то есть требуется аппаратная поддержка - специальные камеры, 3D сканирование, вот это всё). И даже выпустили Pixel 4, который полноценно поддерживает эту фичу. У меня лежит этот телефон и я до сих пор могу использовать разблокировку по лицу полноценную.

Но потом случился кризис полупроводников, всё стало очень дорогим и производители стали экономить на комплектующих. Первыми улетели как раз вот эти сканеры, вместо них производители вернули отпечатки пальцев (в т.ч. Google вернул в Pixel устройства), а в дополнение к полноценной Face ID ещё вернули улучшенный аналог того старого механизма. И вот он как раз считается и всегда считался самим Google низкобезопасным. В итоге автор статьи путает две разные технологии, обе которых поддерживаются Android, но вторая не используется на устройствах, т.к. производители просто экономят.

Таким образом сам Adnroid прекрасно поддерживает биометрию не только по пальцу, но и по лицу, но производители устройств просто не ставят дорогие датчики в телефоны — как оказалось, людей и отпечаток под экраном устраивает. В итоге Pixel 7 стоит дешевле iPhone того же года на 20-40 тысяч рублей.

 

И очень важная ошибка статьи — нельзя использовать биометрию без пина/пароля/паттерна. Биометрия - второй, не основной способ разбокирования. Он используется для того, чтобы реже спрашивать пароли. Но после перезагрузки или если телефон долго лежит без дела или если телефон решит, что пора бы переспросить - будет запрос только основного способа, а биометрия будет отвергаться.

 

Ну и ещё про PIN. Некоторые прошивки, ориентированные на безопасность, например GrapheneOS, при запросе PIN показывают клавиатуру с перемешанными цифрами. То есть если кто-то увидит, куда примерно тычут пальцем, то это ему не поможет, т.к. в следующий раз на этих местах будут стоять другие цифры.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Каждый раз, когда мимо вашей точки доступа Wi-Fi проходит или проезжает человек со смартфоном и включенным GPS, примерные географические координаты роутера попадают в базы данных Apple, Google и других техногигантов. Это неотъемлемая часть системы позиционирования по Wi-Fi (WPS, Wi-fi Positioning System). И для того чтобы ваш роутер попал в эту базу данных, вам даже необязательно иметь смартфон — достаточно того, чтобы смартфоны были у ваших соседей или просто проходящих мимо.
      Благодаря WPS вы видите на экране своего смартфона точку, соответствующую вашему местоположению, спустя мгновение после запуска карты, вместо несколько минут, нужных при получении «чистокровных» GPS-данных со спутников. Смартфон проверяет, какие точки доступа Wi-Fi есть поблизости, отправляет список в Google/Apple и в ответ получает либо свои вычисленные координаты (от Google), либо список координат роутеров (от Apple), чтобы вычислить положение самостоятельно.
      Геопозиционированием этого типа могут с успехом пользоваться устройства вообще без GPS, например ноутбуки. Как выяснили исследователи MIT, Apple позволяет запрашивать координаты точек доступа без особых ограничений, поэтому можно составить свою собственную карту всех роутеров мира, а затем находить на ней интересные явления, закономерности, а иногда и следить за нужными людьми.
      В чем риски слежки за роутерами
      Хотя примерное физическое местоположение роутера не кажется особо секретной информацией, особенно для тех, кто и так живет в вашем и соседних домах, есть целый ряд случаев, когда эту информацию желательно скрыть. Вот лишь некоторые примеры:
      терминалы спутникового Интернета, например Starlink. Они раздают Интернет по Wi-Fi, и слежка за терминалом равна слежке за положением пользователя. Это особенно чувствительно, когда терминалы применяются в зонах военных конфликтов и чрезвычайных ситуаций; пользователи мобильных хотспотов для бизнеса и путешествий. Если вы считаете удобным раздавать Интернет с мобильного роутера на ноутбук и другие свои устройства, весьма вероятно, что карманный хотспот сопровождает вас во все деловые поездки. А заодно создает возможности следить за их графиком, частотой и направлениями. То же касается хотспотов, устанавливаемых в «домах на колесах» и на яхтах; люди, совершившие переезд. Нередко роутер переезжает вместе с владельцем, и тогда его новый адрес могут узнать те, кто хотя бы раз бывал по старому адресу и подключался к Wi-Fi. Хотя обычно эта ситуация невинна и не несет негативных последствий, все может быть иначе для тех, кто переехал, спасаясь от травли, домашнего насилия или других серьезных проблем.  
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      В мае отгремел Всемирный день пароля, и на волне нашего и, надеемся, вашего интереса к парольной тематике мы проанализировали на устойчивость не «сферические пароли в вакууме», а реальные пароли из баз даркнета. Оказалось, что 59% изученных паролей могут быть взломаны менее чем за один час, и для этого понадобятся лишь современная видеокарта и немного знаний.
      Сегодня мы расскажем о том, как хакеры взламывают пароли и что с этим делать (маленький спойлер: пользоваться надежной защитой и автоматически проверять свои пароли на утечки).
      Как обычно взламывают пароли
      Начнем с важной ремарки: под фразой «взломать пароль» мы подразумеваем взлом его хеша — уникальной последовательности символов. Дело в том, что почти всегда пользовательские пароли хранятся на серверах компаний одним из трех способов.
      В открытом виде. Это самый простой и понятный способ: если у пользователя пароль, например, qwerty12345, то на сервере компании он так и хранится: qwerty12345. В случае утечки данных злоумышленнику для авторизации не потребуется сделать ничего сложнее, чем просто ввести логин и пароль. Это, конечно, если нет двухфакторной аутентификации, хотя и при ее наличии мошенники иногда могут перехватывать одноразовые пароли. В закрытом виде. В этом способе используются алгоритмы хеширования: MD5, SHA-1 и другие. Эти алгоритмы генерируют для каждой парольной фразы уникальное хеш-значение — строку символов фиксированной длины, которая и хранится на сервере. Каждый раз, когда пользователь вводит пароль, введенная последовательность символов преобразуется в хеш, который сравнивается с хранящимся на сервере: если они совпали, значит, пароль введен верно. Приведем пример: если в реальности ваш пароль qwerty12345, то «на языке SHA-1» он будет записываться вот так — 4e17a448e043206801b95de317e07c839770c8b8. Когда злоумышленник получит этот хеш, ему потребуется его дешифровать (это и есть «взлом пароля»), например, с помощью радужных таблиц, и превратить обратно в qwerty12345. Узнав пароль, хакер сможет использовать его для авторизации не только в сервисе, с которого утек хеш, но и в любом другом, где используется этот же пароль. В закрытом виде с солью. В этом способе к каждому паролю перед хешированием добавляется соль — случайная последовательность данных, статическая или формирующаяся динамически. Хешируется уже последовательность «пароль+соль», что меняет результирующий хеш, а значит, существующие радужные таблицы уже не помогут хакерам. Такой способ хранения паролей значительно усложняет взлом. Для нашего исследования мы собрали базу из 193 млн слитых паролей в открытом виде. Откуда мы ее взяли? Места надо знать. Нашли в сети даркнет — там они зачастую находятся в свободном доступе. Мы используем такие базы, чтобы проверять пользовательские пароли на предмет возможной утечки, при этом ваши пароли мы не знаем и не храним: вы можете подробнее узнать, как устроено изнутри хранилище паролей в Kaspersky Password Manager и как, не зная ваших паролей, мы сравниваем их с утекшими.
       
      Посмотреть статью полностью
    • Aleksei4ik
      От Aleksei4ik
      Установил касперского фри,он сразу запросил акк,я его ввёл,а он говорит,что нету действующей подписки...что за бред он несёт и как это исправить ?
      Попробовал создать ещё один акк - та же самая ошибка(
    • KL FC Bot
      От KL FC Bot
      Организации переходят на биометрическую аутентификацию для оптимизации пропускного режима, а также в качестве основного или дополнительного фактора аутентификации при входе в информационные системы предприятия. В такой роли биометрия действительно привлекательна — ее невозможно забыть, как пароль, потерять, как пропуск, и сложно подделать. Службе безопасности не надо администрировать забытые и утерянные карточки, а команде ИБ — придумывать системы OTP. Конечно, есть целый ряд «но», которые тоже нужно учесть, оценивая такие внедрения:
      риски хранения и обработки биометрической информации (во многих странах регулируется законодательно, например, в РФ недавно введен 572-ФЗ); практические затруднения, связанные с ложноположительными и ложноотрицательными срабатываниями (сильно зависят от вида биометрии и условий ее проверки); риски обхода аутентификации; риски кибератак, проводимых при помощи уязвимостей в биометрическом терминале. Первые два пункта ответственные за безопасность обычно прорабатывают, а вот остальные часто недооценивают. Они далеко не надуманны, как показало наше подробное исследование популярных биометрических терминалов производства ZKTeco. В них нашлось 24 уязвимости, позволяющих атакующим тривиально обойти аутентификацию, захватить устройство, прочитать или изменить список пользователей, скачать их фото и другие данные, а также эксплуатировать доступ к устройству для развития атаки на сеть предприятия. Вот как злоумышленники могут использовать эти уязвимости.
      Биометрический терминал производства компании ZKTeco
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Мошенники — самые главные фанаты трендов. Toncoin на волне популярности? Они предлагают всем «заработать» на криптовалюте. Искусственный интеллект перешел на новую ступень развития? Держите голосовые дипфейки. Начался чемпионат Европы по футболу? Ожидаем месяц футбольных мошеннических кампаний.
      Евро-2024 объединит более 2,7 млн людей на стадионах и еще 12 млн в фанатских зонах, а сколько человек будет следить за главным футбольным турниром года — даже представить сложно. Многие из этих людей могут стать целями мошенников, поэтому нужно заранее позаботиться о защите и разобраться, какие бывают футбольные киберугрозы и как смотреть матчи любимой команды безопасно.
      Фальшивые билеты
      Традиционная угроза накануне любого крупного офлайн-мероприятия — мошенничество с билетами. Если коротко: покупайте билеты либо на официальном сайте УЕФА, либо в кассе стадиона, а не с рук или на подозрительных сайтах.
      Но что может пойти не так? Вот несколько наиболее популярных сценариев.
      Утечка платежных данных. Такое возможно, если вы проведете оплату картой на поддельном — фишинговом — сайте. Поэтому, прежде чем купить билет онлайн, убедитесь, что в адресе сайта нет опечаток, а его домен зарегистрирован не две недели назад. Утечка персональных данных. Этот сценарий возможен также при покупке на фишинговом сайте — мошенники могут «попросить» вас ввести не только банковские данные, но и фамилию, имя, место жительства, номер телефона и адрес почты. Насторожитесь, если для покупки билетов требуется больше личных данных, чем обычно. Загрузка вредоносного ПО. Мошенники могут предлагать купить билеты на Евро-2024 с помощью «специального приложения». Это безобидное на первый взгляд приложение может оказаться стилером, майнером или чем-нибудь еще более неприятным. Обнаружив предложение «скачать ПО для покупки билетов», игнорируйте его — вас пытаются обмануть. Все эти сценарии объединяет один итог — вы можете остаться без билетов, денег и с плохим настроением. Если вы хотите убедиться, что ваши данные уже не утекли, то установите себе Kaspersky Premium — он не только защитит ваши устройства от вирусов, а сетевой серфинг от фишинговых и вредоносных ссылок, но и автоматически проверит утечки данных ваших аккаунтов, привязанных к e-mail и номеру телефона.
       
      Посмотреть статью полностью
×
×
  • Создать...