本文发表于《大众科学》的前博客网络,反映了作者的观点,不一定代表《大众科学》的观点
在互联网访问方面,我们正处于一个有趣的临界点。地球上移动设备的数量刚刚超过了人口数量,而且我们很快将达到通过移动设备访问互联网比笔记本电脑和台式电脑更频繁的程度。目前的预测显示,到2016年,将有80亿部移动设备,25%的用户将拥有不止一部。
我们的智能手机和平板电脑现在包含的信息与存储在个人电脑上的信息一样敏感。而且,如果设备本身不包含信息,它几乎肯定会成为您在线敏感数据的访问点。
因此,在我们这些研究网络安全的人当中,移动设备因其破解的容易程度而备受关注。关于如何绕过移动设备上的各种控制,有大量的信息。只需查看像http://forensics.spreitzenbarth.de/这样的网站,了解关于Android平台的详细信息,或者查看http://www.msab.com/xry/current-version-release-information,了解能够访问移动设备的取证工具包(尽管此类工具正越来越多地被限制在执法机构使用)。
支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保未来能够继续讲述关于塑造我们当今世界的发现和想法的具有影响力的故事。
作为一名计算机科学家,我发现这很吸引人,但除了是一名研究网络安全的计算机科学家之外,我还是一名统计学家,而且我长期以来一直怀疑PIN码并不是许多人认为的随机数字。由于如此多的设备仍然依赖PIN码来保障安全,我不禁要问,这种更详细的技术研究是否可能是在解决小问题,而PIN码的使用本身就存在一个大问题。
大多数PIN码只有四位数字。一些银行的ATM机最初推出时有六位数字,但即使是这些机器似乎也已经采用了标准的四位数字格式。这种四位数字的PIN码已经被沿用到移动设备上,我们现在都在移动设备上存储着我们珍藏的秘密。简单的看法是,如果我拿起一个设备并试图猜测PIN码,那么它与9999一样有可能是0000,即概率为万分之一。大多数系统在三次错误猜测后会锁定访问,因此攻击者猜对您的PIN码的概率实际上是0.03%,或者设计者们希望如此。
2003年2月,剑桥大学的研究人员发表了一篇论文,分析了所谓的十进制化表攻击如何增加猜测PIN码的机会。他们表明,使用标准的计算设备在30分钟的“午餐时间”攻击中,他们可以正确猜出7000个PIN码,而不是预期的24个。这可能会引起警惕,但这种攻击相对复杂,并且可能仅限于专门的、精通技术的窃贼。但这表明PIN码是链条中的薄弱环节。
我真正的担忧一直源于这样一个事实,即PIN码生成过程的整个过程中存在一个非常不随机的因素:人。如果我们被允许选择PIN码,那么我们通常不会选择随机数字;我们选择一些对我们个人来说容易记住的东西。当银行发放PIN码时,他们会生成一个随机数字,但许多银行允许您将号码重置为您认为更方便使用的号码。转眼间,原始号码中的所有随机性都消失了,PIN码变得更容易猜测。
一些银行确实有禁止使用的PIN码列表。例如,有些银行不允许您将其重置为1111或1234。从理论上讲,这样的数字与其他任何四位数字的PIN码一样随机,但是,作为人类,我们选择某些数字比其他数字更频繁,而这些数字就在禁用的列表中。然而,并非所有银行都提供此类保障措施,而且很少有移动设备不允许您选择特定的PIN码。
当我在剑桥的同事几周前发布了一项调查时,我长期以来一直担心人为选择的PIN码很脆弱的担忧得到了证实。我真的震惊了。在掌握极少的个人信息的情况下,他们能够以高于每20次猜测的概率正确猜出一个PIN码。最常用的PIN码是,是的,您猜对了,用户的生日。
试想一下,您的智能手机或平板电脑被盗的情景。也许您在旅行时被盗,或者您被盗窃,窃贼拿走了您最贵重的便携式资产。无论情况如何,您很可能手机、钱包和护照或公文包都被盗了。现在看看您的钱包,您会很快意识到里面有很多个人信息。我们几乎所有人的生日都写在驾驶执照之类的东西上。因此,如果PIN码设置为像您的生日这样显而易见的东西,就很容易被猜到。
存储在人类记忆中的秘密知识仍然是人机身份验证最广泛使用的方式。将其视为您知道的东西,与生物识别技术(您是什么)或硬件令牌(您拥有什么)形成对比。如果这个秘密是像四位数字PIN码这样简单的东西,那么它真的必须尽可能随机。因此,选择一个不容易与您相关的PIN码,当然不要选择您可以从钱包中的信息中轻易获得的东西。
更好的是,考虑使用更新型的移动设备安全保护方式,并放弃那些老式的PIN码。
图片:公共领域,来自维基共享资源用户Sprocket。