タッチスクリーンのスマッジ攻撃を防ぐ最善の方法は何ですか?


携帯電話を光にかざしてください。わかりますか?これは指の脂のようなもので、パスワードや PIN を示すヒントとして簡単に悪用されます。スマッジ攻撃の被害者にならないようにしましょう。 IT セキュリティの専門家スタック交換携帯電話のコンテンツを自分のものにしておくためのヒントを提供します。

友人の家でガーリックブレッドを食べた後、彼女はすぐに PIN コードを特定して、私の Samsung SIII の画面のロックを解除しました。彼女は、デバイスを光にかざし、私の親指が画面に残したグリースのパターンを観察するだけで、これを理解しました。画面のロックを解除するには 2 回の試行しかかかりませんでした。もし私が画面をきれいに保っていたら、あるいは指をドラッグしてパターンを形成するのではなく数字を押すことによってのみデバイスのロックを解除できたら、彼女は私の携帯電話にアクセスできなかったと思います。これは一般的な攻撃手段ですか?指をドラッグするパターンのパスワードは本当に数字タッチのパスワードより安全ではないのでしょうか?

見る元の質問

スマッジアタックの基本 (D3C4FF が回答しました

あなたが説明したものは「スマッジ攻撃」として知られています。実際には、最後にロックを解除してからどれだけ携帯電話を使用したかによって異なりますが、一般原則は変わりません。 Android スマートフォンのパターン機能を使用する場合、これは特に明らかです。ペンシルバニア大学が作成した研究論文このテーマについて調査し、基本的には 90% 以上の確率でパスワードを特定できるという結論に達しました。この研究では、同じパスワードを何度も書き込むことで蓄積される「パターン汚れ」が特に認識されやすいことも判明しました。さらに:「私たちは、シミュレーションされたアプリケーションの使用による汚れた「ノイズ」や偶発的な衣服の接触によって引き起こされる歪みがあっても、多くの状況で完全または部分的なパターンの回復が可能であることを示しました。」

これはもっともらしいリスクですが、攻撃者は携帯電話に物理的にアクセスする必要があるため、特に実用的な脆弱性ではありません。パターン上で PIN コードを使用すると、これが脅威となる可能性は低くなりますが、PIN の強度と手/画面の清潔さによっては、依然として脅威が存在します。ただし、これらの同じ研究では、指と画面の接触によって残された熱残留物を使用した別の攻撃の可能性を想定していますが、これはまったく別の問題になります。

明らかに、使用後に毎回画面を掃除することは、この特定の攻撃に対する実用的な (そしてそれほど難しいことではありません) 防御策です。電話を使用したことがある場合 (電話をかけたり、メッセージを送信したり、あらゆる種類の Web ブラウジングをしたりする場合)、パターンやコードも十分に難読化できると思います。画面を調べると、これが当てはまるようです。

ウィスパーコア (アドナンによる回答

軽減するための 1 つの方法スマッジ攻撃スマートフォンでは、と呼ばれるアプリケーションを使用しますウィスパーコア。数字が縦に並べられ、電話のロックを解除するために画面を拭くように求められ、元の汚れが見えにくくなります。パターンを使用して携帯電話をロックする場合、正しいパターンを入力すると、画面が星でいっぱいになります。ハイライトされた星をスワイプすると携帯電話のロックが解除され、元の汚れのパターンが再びわかりにくくなります。もちろん、このアプリケーションは基本的に画面をワイプするための必須のリマインダーとして機能しますが、携帯電話のロックを解除するたびに画面をワイプする煩わしさを軽減する方法で実行されます。

桁数を増やすと 2 倍になります (ロリー・オールソップによる回答

迅速かつ簡単なセキュリティの向上: 4 桁を超えるパスコードでは、必ずいずれかの桁を少なくとも 2 回使用してください。 「パターンをスワイプ」オプションは非常に見やすく、遠くからでもショルダーサーフィンできます。として以前に D3C4FF によって言及されました、 チェックアウトこの紙ペンシルベニア大学から、スマッジ攻撃手法と被害者にならないようにする方法に関する興味深い情報を提供しています。

この論文から得られる重要な点は、4 桁以上を使用することです。ほとんどのタッチスクリーン ユーザーは 4 桁の PIN (PIN オプションを使用する場合) を選択するため、ほとんどの攻撃者はこれを試みます。ただし、2 桁が 2 回使用される 6 桁の PIN を使用すると、攻撃者は 4 桁の PIN を使用するか、あるいはそれ以上の PIN を使用するかわからないため、攻撃スペースは非常に困難になります。最初は 4 人で始まる可能性が高く、攻撃者は侵入するよりも携帯電話をロックする可能性が高いです。

上記の回答に同意しませんか?さらに多くの回答を見つけるか、次の場所に自分の回答を残してください元の投稿。このような質問をもっと見るには、ITセキュリティサイトスタック交換。そしてもちろん、お気軽に質問するあなた自身。