Mobilpassordadministratorer: Å knekke sikkerhetsmekanismene

I følge TechCrunch vil tapte og stjålne telefoner koste forbrukere milliarder av dollar i 2012. Jeg var nysgjerrig på artikkelens intense fokus på utskiftingskostnader. Men jeg vil være mer bekymret for dataene som er lagret på telefonen - for eksempel passord.

Ikke noe problem, jeg bruker en mobilsikkerhetstjeneste som kan finne, låse og til og med slette det meste av data som er lagret på telefonen. Og - å være en av de analtypene - bruker jeg også en mobil passordbehandling. På den måten blir sensitive passord beskyttet til jeg finner ut om telefonen min var tapt eller stjålet. Uansett er jeg dekket.

Vel, ikke helt

Jeg har en nyhetscrawler som varsler meg når den finner ordkombinasjonen av passord og smarttelefoner . Mens jeg tenkte på TechCrunch-artikkelen, pipet den bærbare datamaskinen min og signaliserte en hit. Og det var en doozy - "Secure Password Managers" og "Military-Encryption" på smarttelefoner: Å, virkelig? Angivelig visste forfatterne, Andrey Belenko og Dmitry Sklyarov fra Elcomsoft Co. Ltd, noe jeg ikke gjorde.

Det er ikke bra. De har mange street-cred, etter å ha laget iOS Forensic Toolkit, programvare som desimerer iOS-databeskyttelse. Så jeg tenker at jeg bør sjekke dette ut.

Jeg leste avisen - som det hjalp. Å lese om kryptering på høyt nivå er kryptisk, i hvert fall for meg:

Les EncryptedDatabaseKey og EncryptedValidator fra databasen

KEK: = MD5 (passord + salt)

IV: = MD5 (KEK + passord + salt)

7DatabaseKey: = AES-128-CBC (KEK, IV, EncryptedDatabaseKey)

Validator: = AES-128-CBC (DatabaseKey, NULL, EncryptedValidator)

Hvis Validator = DatabaseKey, er passordet riktig

Jeg bestemte meg for å kontakte begge forfatterne og se om de kunne få tid til noen få spørsmål. Det gjorde de, selv om Dimitry var i Tyskland og Andrey i Kina.

Kassner : Forskningen din fokuserte på "sikkerhet for data i ro", noe som betyr lagring av brukerpassord på den mobile enheten. For å få tak i passordene, trenger angriperen ett av følgende:
  • Besittelse av enheten.
  • Sikkerhetskopi av data som er lagret på enheten.
  • Tilgang til passord-manager-databasen.

Du håndterer Apple iOS og RIM Blackberry i dette papiret, vil du kort forklare hvordan hver enkelt beskytter passord?

Belenko : Begge plattformene tilbyr sikkerhetsmekanismer for å beskytte data (ikke bare passord) som er lagret på enheter:
  • Enhetspassord (kalt passordkoder på iOS): De begrenser tilgangen til brukergrensesnitt og data på enheten.
  • Sikkerhetskopi av sikkerhetskopi : Når du har konfigurert krypterte sikkerhetskopier i iTunes, vil iOS-enheten alltid kryptere sikkerhetskopier. Med BlackBerry kan du kontrollere kryptering på basis av sikkerhetskopi fordi kryptering utføres av skrivebordsprogrammet og ikke av enheten.
  • Nøkkelring (bare iOS): Dette er en systemomfattende lagring for passord, nøkler, sertifikater osv. - informasjon som trenger ekstra beskyttelse.

Operativsystemer kan vanligvis implementere bedre sikkerhetstiltak fordi de opererer på et lavere nivå - nærmere maskinvaren. For eksempel er det å beskytte Apple iOS-nøkkelring en integrert del av iOS-databeskyttelse (andre deler inkluderer lagring / innholdskryptering sammen med passordbeskyttelse).

På BlackBerry-plattformen er det ingen tilsvarende iOS-nøkkelring, så sikkerheten avhenger av enhetspassordet. Heldigvis er det ingen enkle eller pålitelige måter å omgå enhetspassordene.

I forskningen vår ønsket vi å analysere om passordhåndteringsapper gir flere lag med sikkerhet - beskyttelse i dybden, så å si.

Kassner : Du skiller mellom operativsystem-sikkerhet og passord-manager-sikkerhet. Hvorfor ville det være en forskjell? Og er det et problem? Sklyarov : Forskjellen er at operativsystemet vanligvis har tilgang til alle funksjonene på enheten, men applikasjoner er begrenset til APIer som tilbys av operativsystemet. Enhetens firmware tilbyr noen beskyttelsesmekanismer, men for det meste er de bare miljøer for å kjøre applikasjoner.

De fleste firmware- og apputviklere føler at sikkerhet er applikasjonens ansvar. Men apputviklere er vanligvis mer opptatt av å forbedre brukervennligheten enn å øke sikkerheten, fordi brukervennlighetsfunksjonene er mye tydeligere enn sikkerhetsforbedringer.

Kassner : DataVault Password Manager for iOS-plattformen lagrer passord i en sikker iOS-kryptert nøkkelring - operativsystem og passordapplikasjon som jobber sammen. Det virker som den beste løsningen. Hvorfor følger ikke flere utviklere eksemplet med DataVault? Belenko : Jeg kan tenke på to sannsynlige grunner:
  • Apper må være bærbare (krever versjoner for iOS og Android), og utviklere ønsker ikke å dykke inn i plattformspesifikke funksjoner. Dermed bruker de bare funksjoner som er felles for forskjellige plattformer.
  • Utviklere forstår ikke sikkerhetsmodellen på enheten og tildeler ikke nok tid til å studere sikkerhetstjenester levert av plattformen.

DataVault er et interessant eksempel. Det bruker ikke nøkkelring ordentlig, men de prøver i det minste.

Kassner : Forskningsoppgaven ser på 17 forskjellige passordbehandlere og gir en detaljert forklaring av hver apps mangler. Jeg bruker tilfeldigvis 1Password Pro. Jeg prøvde å følge forklaringen, men gikk fort fort. Kan du forklare i lekmannsbetegnelser hvorfor 1Password er sårbart? Sklyarov : For det første eksisterer ingen usårbar løsning. Alt kan bli sprukket; det er bare et spørsmål om tid. Hvis det tilfeldigvis tok århundrer, anses en slik løsning vanligvis som god nok. Men hvis passordet ditt kan oppdages på få minutter - er det ikke bra nok.

Vi starter med å anta at angriperen har tilgang til 1Password-databasen. Hvordan tilgangen skjer er ikke viktig for oss. Det som betyr noe for oss er hvor raskt alle mulige passordkombinasjoner kan testes.

For 1Password kan mer enn 10 millioner passord testes hvert sekund. I teorien, ved å bruke bare sifre for passordtegn, kan du finne et syssifret passord på mindre enn ett sekund, et åttesifret passord tar 10 sekunder, ni sifre bare 100 sekunder.

For passord som inneholder bokstaver, sifre, tegnsettingstegn og spesialtegn (95 i alt), er det mulig å oppdage et seks-tegns passord på 24 timer. Men det er sjelden at slike passord brukes på smarttelefoner. Det er for vanskelig å skrive det hver gang.

Kassner : Min kollega - en RIM-fanatiker - bruker Blackberry Wallet. Selv om jeg er under inntrykk av at RIM gjør en bedre jobb med å holde passord trygt, påpekte papiret at passordgjenoppretting var mulig. Vil du nok en gang, i lekmannsbetingelser, forklare hvordan Wallet er sårbar? Belenko : På samme måte som 1Password Pro er: hvis du klarer å få en sikkerhetskopi av kollegaens BlackBerry, vil du kunne kjøre et passordgjenopprettingangrep på Wallet-hovedpassordet sitt, om enn i en lavere tempo enn 1Password Pro - Jeg antar at Wallet 1.2 for BlackBerry OS 6+.

Det som gjør passordkrakking enklere på mobile plattformer er det lille eller begrensede tastaturet. Det er vanskelig å skrive inn lange eller komplekse passord.

Kassner : Jeg er glad for at du tok opp det. Jeg ønsket å spørre deg om følgende sitat jeg leste i papiret:

"De fleste mobile enheter i dag har ikke fysisk tastatur, noe som gjør det vanskeligere for brukerne å bruke motorisk læring for å huske komplekse passord. Derfor tror vi det er trygt å anta at kompleksiteten til et passord som må legges inn i gjennomsnitt gjennomsnittlig er på en mobilenhet vil være lavere enn passordet som brukes på enheter med fysiske tastaturer. "

Er det virkelig et hensyn?

Sklyarov: Mange mennesker (inkludert meg selv) kan lett skrive komplekse setninger på standard tastaturer, men har problemer når det kreves for å skrive passord bokstav for bokstav. Vi kaller det motorisk minne.

Nå kan du legge til det problemet det faktum at virtuelle tastaturer er små og ikke gir noen fysiske tilbakemeldinger om hvilken del av nøkkelen du nettopp berørte - sentrum, vinkel eller noen kant. Så det er dobbelt vanskelig å skrive lange komplekse passord ved å bruke et virtuelt tastatur på skjermen - noe som gjør enkle passord mer utbredt.

Kassner : Med så mange passordbehandlerapper tilgjengelig, hvilke råd kan du gi brukere som leter etter en? Belenko : Det kan høres litt paranoid ut, men sannsynligvis er det best å ikke stole på beskyttelse gitt av passordledere i det hele tatt. I stedet bør brukerne bruke alle sikkerhetsmekanismer som tilbys av de mobile enhetene og operativsystemet deres: iOS
  • Bruk enhetens passkodeprogram.
  • Angi passordet for sikkerhetskopi og gjør det komplekst.
  • Ikke koble iOS-enheter til en ikke-klarert datamaskin eller strømkilde.
bjørnebær
  • Angi passordet til enheten (dette er den primære beskyttelsen av dataene).
  • Hvis du krypterer mediekortet, må du angi kryptering for å bruke enhetsnøkkel, ved å bruke enhetspassord vil tillater en angriper å gjenopprette det.
  • Lagre aldri krypterte sikkerhetskopier.
Siste tanker

Jeg hører det gang på gang. Det absolutt beste vi kan gjøre er å bruke enhetslåsen på mobiltelefonene våre. Bevis positivt, FBI klarer ikke å knekke Android's mønsterskjermlås. Og nå har du hørt det fra to eksperter i verdensklasse.

Jeg kremmer imidlertid - det er så vondt.

Takk Dmitry og Andrey for å belyse en viktig svakhet.

© Copyright 2020 | mobilegn.com