本文發表於《大眾科學》的前部落格網路,反映了作者的觀點,不一定代表《大眾科學》的觀點
在網際網路訪問方面,我們正處於一個有趣的臨界點。地球上移動裝置的數量剛剛超過了人口數量,而且我們很快將達到透過移動裝置訪問網際網路比筆記型電腦和臺式電腦更頻繁的程度。目前的預測顯示,到2016年,將有80億部移動裝置,25%的使用者將擁有不止一部。
我們的智慧手機和平板電腦現在包含的資訊與儲存在個人電腦上的資訊一樣敏感。而且,如果裝置本身不包含資訊,它幾乎肯定會成為您線上敏感資料的訪問點。
因此,在我們這些研究網路安全的人當中,移動裝置因其破解的容易程度而備受關注。關於如何繞過移動裝置上的各種控制,有大量的資訊。只需檢視像http://forensics.spreitzenbarth.de/這樣的網站,瞭解關於Android平臺的詳細資訊,或者檢視http://www.msab.com/xry/current-version-release-information,瞭解能夠訪問移動裝置的取證工具包(儘管此類工具正越來越多地被限制在執法機構使用)。
支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保未來能夠繼續講述關於塑造我們當今世界的發現和想法的具有影響力的故事。
作為一名計算機科學家,我發現這很吸引人,但除了是一名研究網路安全的計算機科學家之外,我還是一名統計學家,而且我長期以來一直懷疑PIN碼並不是許多人認為的隨機數字。由於如此多的裝置仍然依賴PIN碼來保障安全,我不禁要問,這種更詳細的技術研究是否可能是在解決小問題,而PIN碼的使用本身就存在一個大問題。
大多數PIN碼只有四位數字。一些銀行的ATM機最初推出時有六位數字,但即使是這些機器似乎也已經採用了標準的四位數字格式。這種四位數字的PIN碼已經被沿用到移動裝置上,我們現在都在移動裝置上儲存著我們珍藏的秘密。簡單的看法是,如果我拿起一個裝置並試圖猜測PIN碼,那麼它與9999一樣有可能是0000,即機率為萬分之一。大多數系統在三次錯誤猜測後會鎖定訪問,因此攻擊者猜對您的PIN碼的機率實際上是0.03%,或者設計者們希望如此。
2003年2月,劍橋大學的研究人員發表了一篇論文,分析了所謂的十進位制化表攻擊如何增加猜測PIN碼的機會。他們表明,使用標準的計算裝置在30分鐘的“午餐時間”攻擊中,他們可以正確猜出7000個PIN碼,而不是預期的24個。這可能會引起警惕,但這種攻擊相對複雜,並且可能僅限於專門的、精通技術的竊賊。但這表明PIN碼是鏈條中的薄弱環節。
我真正的擔憂一直源於這樣一個事實,即PIN碼生成過程的整個過程中存在一個非常不隨機的因素:人。如果我們被允許選擇PIN碼,那麼我們通常不會選擇隨機數字;我們選擇一些對我們個人來說容易記住的東西。當銀行發放PIN碼時,他們會生成一個隨機數字,但許多銀行允許您將號碼重置為您認為更方便使用的號碼。轉眼間,原始號碼中的所有隨機性都消失了,PIN碼變得更容易猜測。
一些銀行確實有禁止使用的PIN碼列表。例如,有些銀行不允許您將其重置為1111或1234。從理論上講,這樣的數字與其他任何四位數字的PIN碼一樣隨機,但是,作為人類,我們選擇某些數字比其他數字更頻繁,而這些數字就在停用的列表中。然而,並非所有銀行都提供此類保障措施,而且很少有移動裝置不允許您選擇特定的PIN碼。
當我在劍橋的同事幾周前釋出了一項調查時,我長期以來一直擔心人為選擇的PIN碼很脆弱的擔憂得到了證實。我真的震驚了。在掌握極少的個人資訊的情況下,他們能夠以高於每20次猜測的機率正確猜出一個PIN碼。最常用的PIN碼是,是的,您猜對了,使用者的生日。
試想一下,您的智慧手機或平板電腦被盜的情景。也許您在旅行時被盜,或者您被盜竊,竊賊拿走了您最貴重的行動式資產。無論情況如何,您很可能手機、錢包和護照或公文包都被盜了。現在看看您的錢包,您會很快意識到裡面有很多個人資訊。我們幾乎所有人的生日都寫在駕駛執照之類的東西上。因此,如果PIN碼設定為像您的生日這樣顯而易見的東西,就很容易被猜到。
儲存在人類記憶中的秘密知識仍然是人機身份驗證最廣泛使用的方式。將其視為您知道的東西,與生物識別技術(您是什麼)或硬體令牌(您擁有什麼)形成對比。如果這個秘密是像四位數字PIN碼這樣簡單的東西,那麼它真的必須儘可能隨機。因此,選擇一個不容易與您相關的PIN碼,當然不要選擇您可以從錢包中的資訊中輕易獲得的東西。
更好的是,考慮使用更新型的移動裝置安全保護方式,並放棄那些老式的PIN碼。
圖片:公共領域,來自維基共享資源使用者Sprocket。