Как сделать графический пароль свастику
Графические ключи так же предсказуемы, как пароли «1234567» и «password»
Xakep #260. В поисках утечек
Многочисленные утечки данных не раз доказывали, что самые распространенные пароли (а также самые уязвимые), это всевозможные вариации на тему «password», «p@$$w0rd» и «1234567». Когда в 2008 году в Android появились графические ключи, казалось, они могут изменить ситуацию. Теперь становится ясно, что ситуация с графическими ключами мало отличается от ситуации с обычными паролями. Выпускница Норвежского университета естественных и технических наук Марте Лёге (Marte Løge) провела исследование данной темы, в ходе защиты магистерской диссертации. Свой доклад под названием «Скажи мне кто ты, и я скажу тебе, как выглядит твой графический пароль» Лёге зачитала на конференции PasswordsCon в Лас-Вегасе.
Так как графически ключи еще сравнительно молоды, и собрать большое количество примеров реальных ключей «из жизни» затруднительно, выборка у Лёге получилась небольшая – она проанализировала 4 000 Android lock Patterns (ALP). Тем не менее, полученные на выходе данные оказались небезынтересны.
«Люди предсказуемы. В случае графических паролей, мы наблюдаем тот же подход, которым люди руководствуются при создании PIN-кодов и обычных буквенно-числовых комбинаций», — рассказала Лёге на конференции. ALP может содержать не менее 4 узлов и не более 9, что суммарно дает 389,112 возможных комбинаций. Так же как в случае с обычными паролями, число комбинаций возрастает экспоненциально, вместе с длиной графического ключа.
| Длина графического ключа | Число комбинаций |
| 4 | 1,624 |
| 5 | 7,152 |
| 6 | 26,016 |
| 7 | 72,912 |
| 8 | 140,704 |
| 9 | 140,704 |
В целом, основные собранные данные таковы:
Лёге попросила опрошенных создать три разных ALP: для банковского приложения, для приложению для покупок и для разблокировки смартфона.
К сожалению, опрошенные мужчины и женщины, в подавляющем большинстве, создали ключи из 4-5 узлов. Наименее популярны у пользователей, по неясной причине, оказались пароли длиной 8 узлов, и даже пароли из максимальных 9 узлов набрали больше «голосов».
На иллюстрации ниже верхняя колонка – пароли мужчин, нижняя – пароли женщин:
Мужчины в целом придумывают более сложные и длинные пароли, чем женщины. Самые сложные пароли – у молодых мужчин. Иллюстрация ниже демонстрирует разницу в сложности паролей:
Однако количество узлов – не единственный важный фактор для создания надежного графического ключа. Специфическая последовательность соединения узлов также является ключевым моментом для такого пароля. Если присвоить узлам пароля числа, расположив их так же, как они расположены на клавиатуре обычного телефона, получится, что последовательность 1, 2, 3, 6 куда менее безопасна, чем 2, 1, 3, 6, которая меняет направление.
Мужчины и здесь выбирают более надежные комбинации, такие как последовательность 2, 3, 1. Женщины почти никогда не выбирают комбинации с пересечениями. Лёге отмечает, что людям, в целом, сложно запомнить паттерны высокой сложности.
Команда исследователей формализовала систему оценки сложности графических ключей еще в 2014 году, представив документ «Dissecting pattern unlock: The effect of pattern strength meter on pattern selection».
Опираясь на данную систему оценки надежности комбинаций, Лёге получила следующие цифры: самый ненадежный пароль среди опрошенных набрал 6,6 баллов, самый надежный – 46,8 баллов. Средняя надежность пароля составила 13,6 баллов.
Помимо прочего, графические ключи оказались подвержены той же «болезни», что и численно-буквенные пароли, в качестве которых пользователи часто используют обычные слова. Более 10% полученных Лёге паролей оказались обычным буквами, которые пользователи чертили на экране. Хуже того, почти всегда выяснялось, что это не просто буква, но первая буква имени самого опрошенного, его супруга(ги), ребенка и так далее. Если атакующий, пытается взломать смартфон и знает имя жертвы, все становится совсем просто.
«Было очень забавно видеть, что люди используют ту же стратегию запоминания, к которой привыкли, используя численно-буквенные пароли. Тот же самый образ мысли», — рассказала Лёге. Выходит, если атакующим удастся собрать достаточно большое количество графических ключей, они смогут воспользоваться моделью Маркова, что значительно увеличит их шансы на успех. Лёге не стала фокусироваться на данном методе взлома в своем докладе из этических соображений.
В заключение Лёге дала ряд советов, как сделать ALP безопаснее. Во-первых, в графическом ключе стоит использовать большее количество узлов, что сделает пароль более сложным. Во-вторых, стоит добавить пересечений, так как они усложняют атакующим подбор комбинации и помогут запутать злоумышленника, если тот решил подсмотреть пароль через плечо жертвы. В-третьих, стоит отключить опцию «показывать паттерн» в настройках безопасности Android: если линии между точками не будут отображаться на экране, подсмотреть ваш пароль станет еще сложнее.
Самые распространённые графические ключи на андроид
Найдены возможные дубликаты
Я так все данные на телефоне потерял)
Я знаю все пинкоды всех карт. Если кому надо, могу выложить.
Не надо, у нас есть.
Инфа сотка. Тут одна визуализация вариантов не оставляет сомнений.
моего варианта тут нет ЧЯДНТ
Просто ты параноик.
Блин. После просмотра поста свой ключ забыл.
А у меня примерно такой, только повёрнут на 44° вверх
Это мой. Не 100%, но уровень сложности такой же. Шесть штрихов разной длины и наклона с пересечениями. Правда, давно почти не пользуюсь: новый телефон разблокирую отпечатком, но не подушечки пальца, а ключ ввожу раз в несколько дней, когда телефону это зачем-то оказывается нужно.
У меня вообще никакого нет.
Даже отпечаток пальца ни разу не вводил.
Очень важная и достоверная инфа. В эпоху телефонов с faceid и сканерами отпечатков
Странно, что моего нет. Он точно тупее всех показанных.
Теперь официально. Huawei продала бренд Honor. Что теперь будет со смартфонами?
Это одна из крупнейших сделок в этом году. Спустя 7 лет Honor становится независимой компанией.
Запрет на сотрудничество с Huawei, наложенный на американские компании, ударил и по созданному им «суббренду» Honor. Уже несколько недель говорят, что, чтобы спасти часть телефонного бизнеса, китайцы могут перепродать этот бренд. Так и случилось.Huawei подтверждает, что Honor только что был продан
В официальном заявлении Huawei сообщила, что бренд Honor попадает под крыло недавно сформированного консорциума под названием «Shenzhen Zhixin New Information Technology». В его состав входят более 30 организаций, включая компании, которые до сих пор распространяли устройства марки Honor на китайском рынке.
Стоимость сделки не разглашается, но по неофициальным данным она была эквивалентна 15 миллиардам долларов.
На данный момент новый владелец не собирается вносить серьезных изменений в работе устройств Honor. Бизнес-стратегия останется неизменной, а команда менеджеров останется на своих позициях. Пока не особо понятно, что будет с обновлением ПО и анонсом новых устройств.
Однако пока неизвестно, каким будет будущее Honor в Европе. В 2020 году на российском рынке появилось лишь несколько смартфонов от этой марки, а также пара аксессуаров, таких как наушники и умные часы.
Honor был основан в 2013 году и представляет собой бюджетный бренд, ориентированный на «молодых» покупателей. Количество смартфонов, покупаемых ежегодно, превысило 70 миллионов, что говорит о большой популярности бренда.
Информация взята с ТЕХНОблог
Популярность мобильных операционных систем с 2000 по 2020
Телефон отжигает
На 32 шага больше, чем обычно, Карл! Хлопотное утро 😁😁😁
Как обезопасить вашу сим-карту от незаконного перевыпуска. Инструкция для абонентов Билайн.
Huawei лишится сервисов и магазина приложений Google, включая обновления Android, из-за конфликта с США.
На всех рынках вне Китая.
Google остановил сотрудничество с китайским производителем смартфонов Huawei, связанное с передачей разработок в сфере оборудования и ПО, кроме тех, которые регламентированы открытыми лицензиями. Об этом сообщает Reuters со ссылкой на источник, знакомый с ситуацией.
По данным агентства, решение вступило в силу в воскресенье и фактически означает, что с этого момента смартфоны Huawei больше не будут получать будущие обновления Android.
К тому же, как уточняет Reuters, китайская компания не сможет устанавливать программы, разработанные Google, например магазин приложений Google play и электронную почту Gmail, на последующие модели своих мобильных устройств.
У Huawei останется доступ к открытой версии Android, которая доступна всем разработчикам, однако сотрудничества Google с китайским производителем больше не будет. Детали принятого решения ещё обсуждаются внутри Google, а юристы Huawei изучают влияние действий правительства США, однако публично компании не комментируют ситуацию.
Reuters не уточняет прямо, но по всей видимости решение Google связано с внесением Huawei в чёрный список Министерства торговли США, о котором ведомство объявило в четверг 16 мая.
ТАСС
Пользователи Android, изоляция банк клиентов.
Здравствуйте. Счастья, здоровья, держитесь там. Приношу извинения, тчо сильно затянул написание этой заметки. Автор занимался определёнными изысканиями в одной отбитой области и по этой причине времени написать сий трудъ не было. Паралельно бросил пить, курить, занялся спортом, похудел, ох*уел как хорошо жить вне интернетов в реальном мире. Да-да всем срать, приступаю. Извиняйте за тавтологию, если повторю то, что уже писал.
Предисловие: меня удивляет безалаберность большинства пользователей, никто из моих знакомых не использует аккаунты в телефоне, работают под администратором в ОС или, админы поймут, запускают продуктивные приложения из-под рута. Возможно люди станут чуть более расторопными, когда уже будет поздно. Те, у кого троян, скачанный в виде игрушки с левого сайта племянником-двоюродной_сестры-тёти спёр деньги со счёта мобильного или с банковской карты обычно прозревают.
Начиная с версии Android 4.2 у владельцев планшетов существует возможность создавать несколько учетных записей для разделения устройства между разными пользователями. В мобильных телефонах данная функция появилась, начиная с версии 5.0. Я предлагаю использовать эту возможность для обеспечения более высокого уровня безопасности.
Что нам понадобится: Устройство на android 5+, второй, гугл аккаунт.
Краткое руководство к действию. Справедливо для голого Android, названия пунктов меню взяты из версии 8.1
После первоначальной загрузки телефона, не стоит настраивать вообще ничего, кроме трёх пунктов, этот аккаунт является администратором и позволяет давать доступ к sms/вызовам другим пользователям, добавлять и удалять их, предполагаю в будущем возможности контроля и ограничений будут расширены.
1) Добавьте пароль для аккаунта, именно пароль, длинный жирный необрезанный. Впрочем вы можете руководствоваться своими соображениями и использовать любой вариант.
Настройки – Местоположение и защита – Блокировка экрана.
2) Проверьте, что ваше устройство зашифровано.
Настройки – Местоположение и защита – Шифрование и учетные данные – Зашифровать данные.
3) Создаём пользователей.
Настройки – Пользователи и аккаунты – Пользователи.
Создаём 2 аккаунта:
Второй мы планируем использовать для всех приложений с доступом к финансовым активностям, именно для него я и могу рекомендовать завести отдельный гугл.аккаунт не связанных НИКОИМ образом с первым.
Можно расширить список аккаунтов и изолировать назойливые игры, которые пытаются изнасиловать вас своими уведомлениями и напоминаниями. Также есть гостевой аккаунт.
Рекомендации для параноиков:
1) Не привязывайте номер телефона к второму «банковскому» аккаунту гугл. В случае, если недобросовестный опсос перевыпустит симку, все(ну почти все) банк клиенты перестанут работать на сутки, а получить доступ к вашему аккаунту человек сможет. Зная, как в данный момент развита электронная коммерция, этого может быть достаточно для создания вам проблем. Простой пример – привязанная к аккаунту карта для платежей gPay.
2) Используйте 2FA – двухфакторная аутентификация. Обязательно сгенерируйте новые резервные коды для входа, именно они являются наиболее безопасным способом восстановить доступ к аккаунту.
3) Идеальным вариантом является использование «паролей для приложений». Генерируются один раз, записывать не надо, запоминать тоже, геморройно бывает настраивать новое устройство, но лучше этого пока не придумали.
4) Проведите аудит конфиденциальности. Я лично выключил для банковского вообще всё.
5) Отключите/удалите все не нужные вам приложения.
Это сократит как расход батареи, при переходе между аккаунтами многие приложения получают событие для пробуждения, так и позволит чуть ограничить собираемые о вас данные. Оставить точно стоит gPlay, т.к. обновлять приложения нужно обязательно, остальной софт по-вкусу.
Настройки – Приложения и уведомления – Показать все.
При выборе приложения вы провалитесь в меню, где будет возможность удалить обновление/отключить приложение.
6) Отключите Google Instant App!
Настройки – Google – Сообщения с предпросмотром приложений.
Что это за зверь? Теоретически задумка неплохая, при переходе на сайт, устройство загрузит приложение, что-то вроде тонкого клиента сайта, после чего вы сможете пользоваться сайтом в рамках экосистемы вашего устройства. Например, можно будет моментально оплатить покупку, привязанной к аккаунту картой. А можно потерять все деньги, если это приложение окажется зловредом, подписанным корректным сертификатом. Тот же aliexpress вообще никаких вопросов не задаёт, просто деньги с карты списывает.
Для Xiaomi на прошивках MIUI существует аналог – второе пространство. К сожалению множественное добавление пользователей тут невозможно, однако есть такие фишки, как:
1) Скрытие из меню основного аккаунта пункта второго пространства.
2) Вход в разны аккаунты из одного экрана блокировки по разным паролям/отпечаткам пальца. Не знающий человек просто не догадается, что в телефоне есть изолированный сегмент с блекджеком и ещё чем-нибудь.
3) Склероз мой друг. Если верно помню, есть возможность «завернуть» определённые контакты с вызовами и смс во второе пространство. И никто не узнает, что вы бэтмен, ходите на сторону/ведёте двойную жизнь(курьерам с зп 300к в месяц привет). В крайнем случае сяоми из-коробки имеет applock, который способен скрывать даже конкретные сообщения из чатов.
Спасибо за интерес. К сожалению у меня нет совершенно времени отвечать.
Вымогатель SLocker, также известный как Simple Locker, является одним из наиболее известных и старейших шифровальщиков для Android. Именно он устроил настоящую эпидемию летом 2016 года, а в мае 2017 года исследователи обнаружили более 400 новых образцов вируса. Спустя еще месяц, в июне 2017 года, специалисты Trend Micro заметили, что вымогатель начал копировать GUI нашумевшего шифровальщика WannaCry.
Исходный код вируса SLocker (опубликовал fs0c1ety):
Пользователям Android рекомендуется удвоить бдительность и помнить о простейших правилах безопасности:
-не открывать почтовые вложения, полученные из неизвестных источников;
-не нажимать на ссылки, полученные в SMS- и MMS-сообщениях;
-отключить в настройках безопасности Android установку приложений не из Google Play;
-своевременно обновлять ОС и приложения;
-не подключаться к незащищенным и непроверенным публичным сетям Wi-Fi, и вообще отключать Wi-Fi если он не используется.
Whatsapp хранит переписку на смартфоне в открытом виде
Disclaimer:
Пост несёт сугубо информативно-познавательный характер, не несёт в себе призывов к действию. За рейтингом не гонюсь, можете минусить, но советую сначала прочесть
Однажды, почти случайно, залез я посмотреть что хранит Whatsapp в своих базах данных на смартфоне. Изначально цель была не эта, но потом стало интересно.
Мой смартфон — на андроиде. Поскольку есть рут и я не боюсь экспериментов над своим девайсом, мне не составляет труда изредка пользоваться приложением, название которого я не назову 🙂 Во-первых, это может спровоцировать кого-то на неразумные действия в чей-то адрес, а такую ответственность брать на себя мне не хочется, а во-вторых, пикабушники люто не одобряют рекламные (либо похожие на таковые) посты.
Приложение позволяет на рутованном андроиде включать и отключать разные компоненты других приложений, например, выключить активность («окно»), которое отображает полноэкранную рекламу, либо выключить сервис, в фоне отправляющий какую-то инфу чёрт знает кому. А также даёт просматривать и изменять хранимые другими приложениями данные в их базах данных.
В андроиде есть встроенный механизм баз данных (на движке SQLite). Мулечка в том, что любое приложение может иметь БД в защищённом хранилище системы, где будет накапливать и хранить свои данные. Это если на пальцах объяснять, более опытные разработчики могут внести дополнения в комментах.
Я не силён в шифрованиях, устройстве мессенджеров и шизой на тему информационной безопасности не страдаю. Однако обнаружил любопытную вещь.
После появления Телеграма, Whatsapp начал хвастаться сквозным шифрованием. Даже если оно есть по факту и работает, то почему в БД этого месссенджера хранятся все данные в открытом виде и никак (от слова совсем) не зашифрованы?
Отправляю тестовое сообщение:
Смотрю в базу (БД msgstore, таблица messages):