新聞 
為什麼銀行 App 的安全鍵盤並不能守護你的賬戶安全?
為什麼銀行 App 的安全鍵盤並不能守護你的賬戶安全?為什麼銀行 App 的安全鍵盤並不能守護你的賬戶安全?
聰明的你在這時候壹定想到了通過陀螺儀檢測手機擺動方向和幅度來倒推鍵盤輸入,也的確有相關的學術論文。但是兄弟,普通手機輸入法是軟鍵盤,你自己實現的鍵盤難道就不是軟鍵盤了嗎?真的利用陀螺儀探測的話,人直接壹個 AOE 打擊,哪管你是哪來的軟鍵盤神仙。除非你真的實現前文推薦標准中提到的「安全隨機鍵盤」,即將所有按鍵全部打亂,而且是每次都打亂,這樣即使真的有壹個驚天地泣鬼神的惡意 app、本著你有這本事幹點啥不好的精神、突破系統重重安全封鎖、在後台持續監聽陀螺儀而且不拖慢手機、不被系統殺掉……也很難真正探測用戶輸入的內容了。
但真做到這壹步,手機銀行 app 們就能高枕無憂了嗎?
我們先來看看另壹個與密碼有關的策略的反例。在早先許多網站上,有壹種拾分復雜的密碼策略。在注冊或修改密碼的時候,密碼輸入框附近會有壹組檢查列表,例如密碼至少有壹個小寫字母、壹個大寫字母、壹個數字、壹個特殊符號、多少位……
看上去這個邏輯是說得通的:通過強制的復雜性要求來鼓勵用戶提高密碼的隨機性,進而令密碼更難被猜測。但在密碼世界,高隨機性和高熵值(這才是安全的密碼需要追求的)並不能直接劃上等號。和 Enigma 機後期限制密鑰組合反而減少了猜測難度壹樣,限制密碼的格式等於是在「可能的密碼組合」這個集合中,排除了「不符合的條件」。從數學上來說,減少的這批數量在總可能密碼數量的占比中相當可觀,對於使用暴力破解手段的攻擊者而言,這無異是在減輕暴力破解的負擔。
同時,額外的限制反而讓用戶設置的密碼「坍縮」到人更容易記憶的密碼組合,例如P@$$w0rd1。更危險的是,壹些用戶會刻意設置壹個「能符合所有地方要求的密碼」,來避免額外的密碼記憶。如此壹來,所謂的「復雜密碼條件」的設置,完全變成了壹個形同虛設的用戶體驗障礙。你可以在微軟研究室的這篇博客文章中,看到更詳細的解釋。
打亂的「安全鍵盤」實際上也是壹樣的道理:為了在被打亂的、無規律的鍵盤上提升那麼壹點輸入體驗,用戶更傾向於使用自己熟悉的密碼,以換取壹點點的效率和體驗提升。說白了,不管是復雜密碼策略,還是打亂的安全鍵盤,本質上是在與人的懶惰作斗爭。常年和拖延症打交道的朋友們都能明白,在壹些場合,面對壹些反人性的、甚至是不必要的限制下,人類通常的行為是繞過它,而非采用與限制設置者預期中的方案來解決。很不幸密碼的設置和輸入就是這樣壹個場合。
更進壹步地,壹些「安全鍵盤」功能的實現從系統底層禁止了密碼管理器的介入。簡單來說,包括 macOS、iOS 和 Android 在內的系統,支持從密碼管理器 app 中直接傳輸密碼到用戶名和密碼輸入框。這種系統層面的行為不僅可以有效避免物理和軟件層面的直接探測,陀螺儀分析猜測法對它也是束手無策(畢竟不需要直接輸入密碼)。而大多數「安全鍵盤」要麼魔改了鍵盤、輸入框,要麼就像雲閃付那樣替換用戶實際輸入字符,令用戶最終只能手動輸入密碼。最終的結果就是,不僅陀螺儀探測法有機會探測到輸入,在事實上采用「安全鍵盤」,實際上在鼓勵用戶使用更容易輸入、記憶的低熵密碼——相對於使用密碼生成器生成的高熵密碼而言,安全性反而是下降的。
▍方便從來不是安全的敵人,麻煩才是
早期的網絡安全中流傳著這樣壹句話:安全和方便總需要犧牲壹方。但在網上沖浪這麼長時間,我逐漸開始認為,這句所謂的「絕對真理」可能就是在放屁。
這句話出現在「密碼管理器」之前的密碼身上可能是正確的:人類是真的不擅長生成、記憶壹個高熵的密碼。別說高熵了——就連壹百多個在線賬戶、每個用壹個獨立的密碼這件事,人類也是極其不擅長的。
[加西網正招聘多名全職sales 待遇優]
這條新聞還沒有人評論喔,等著您的高見呢
但真做到這壹步,手機銀行 app 們就能高枕無憂了嗎?
我們先來看看另壹個與密碼有關的策略的反例。在早先許多網站上,有壹種拾分復雜的密碼策略。在注冊或修改密碼的時候,密碼輸入框附近會有壹組檢查列表,例如密碼至少有壹個小寫字母、壹個大寫字母、壹個數字、壹個特殊符號、多少位……
看上去這個邏輯是說得通的:通過強制的復雜性要求來鼓勵用戶提高密碼的隨機性,進而令密碼更難被猜測。但在密碼世界,高隨機性和高熵值(這才是安全的密碼需要追求的)並不能直接劃上等號。和 Enigma 機後期限制密鑰組合反而減少了猜測難度壹樣,限制密碼的格式等於是在「可能的密碼組合」這個集合中,排除了「不符合的條件」。從數學上來說,減少的這批數量在總可能密碼數量的占比中相當可觀,對於使用暴力破解手段的攻擊者而言,這無異是在減輕暴力破解的負擔。
同時,額外的限制反而讓用戶設置的密碼「坍縮」到人更容易記憶的密碼組合,例如P@$$w0rd1。更危險的是,壹些用戶會刻意設置壹個「能符合所有地方要求的密碼」,來避免額外的密碼記憶。如此壹來,所謂的「復雜密碼條件」的設置,完全變成了壹個形同虛設的用戶體驗障礙。你可以在微軟研究室的這篇博客文章中,看到更詳細的解釋。
打亂的「安全鍵盤」實際上也是壹樣的道理:為了在被打亂的、無規律的鍵盤上提升那麼壹點輸入體驗,用戶更傾向於使用自己熟悉的密碼,以換取壹點點的效率和體驗提升。說白了,不管是復雜密碼策略,還是打亂的安全鍵盤,本質上是在與人的懶惰作斗爭。常年和拖延症打交道的朋友們都能明白,在壹些場合,面對壹些反人性的、甚至是不必要的限制下,人類通常的行為是繞過它,而非采用與限制設置者預期中的方案來解決。很不幸密碼的設置和輸入就是這樣壹個場合。
更進壹步地,壹些「安全鍵盤」功能的實現從系統底層禁止了密碼管理器的介入。簡單來說,包括 macOS、iOS 和 Android 在內的系統,支持從密碼管理器 app 中直接傳輸密碼到用戶名和密碼輸入框。這種系統層面的行為不僅可以有效避免物理和軟件層面的直接探測,陀螺儀分析猜測法對它也是束手無策(畢竟不需要直接輸入密碼)。而大多數「安全鍵盤」要麼魔改了鍵盤、輸入框,要麼就像雲閃付那樣替換用戶實際輸入字符,令用戶最終只能手動輸入密碼。最終的結果就是,不僅陀螺儀探測法有機會探測到輸入,在事實上采用「安全鍵盤」,實際上在鼓勵用戶使用更容易輸入、記憶的低熵密碼——相對於使用密碼生成器生成的高熵密碼而言,安全性反而是下降的。
▍方便從來不是安全的敵人,麻煩才是
早期的網絡安全中流傳著這樣壹句話:安全和方便總需要犧牲壹方。但在網上沖浪這麼長時間,我逐漸開始認為,這句所謂的「絕對真理」可能就是在放屁。
這句話出現在「密碼管理器」之前的密碼身上可能是正確的:人類是真的不擅長生成、記憶壹個高熵的密碼。別說高熵了——就連壹百多個在線賬戶、每個用壹個獨立的密碼這件事,人類也是極其不擅長的。
[加西網正招聘多名全職sales 待遇優]
| 分享: |
| 注: | 在此頁閱讀全文 |
推薦: