Pourquoi le verrouillage des empreintes digitales est-il considéré comme moins sécurisé que le verrouillage de modèle sur le Nexus 5X?

12

Mon Nexus 5X recommande fortement de configurer le verrouillage de modèle en plus du verrouillage d'empreinte digitale, et le modèle est demandé à chaque redémarrage. Et mon gestionnaire de mots de passe (KP2A) recommande d'utiliser le déverrouillage par empreinte digitale uniquement pour un «déverrouillage rapide» après une courte période d'inactivité, mais d'exiger un mot de passe complet pour la base de données après chaque redémarrage.

D'où deux questions:

  1. Pourquoi Google considère-t-il le verrouillage des empreintes digitales comme moins sûr que le verrouillage de modèle?

    L'utilisation de votre empreinte digitale pour déverrouiller votre appareil peut être moins sécurisée qu'un mot de passe, un code PIN ou un modèle fort.

  2. Pour mon gestionnaire de mots de passe sur Android, est-il vraiment plus sûr de ressaisir le mot de passe à chaque redémarrage plutôt que d'utiliser le verrouillage d'empreintes digitales? Combien de bits mon mot de passe devrait-il avoir pour être plus sûr que le verrouillage d'empreintes digitales?

Veuillez noter que je demande spécifiquement sur la mise en œuvre du scanner d'empreintes digitales dans 5X, pas pour une théorie générale sur une solution de scanner d'empreintes digitales abstraite moyenne.

yurkennis
la source
1
Je pense que cette question appartient en fait à Sécurité de l'information
SarpSTA
@SarpSTA je suis d'accord avec ça non plus; comment déplacer la question là-bas?
yurkennis
J'ai signalé la question. Les mods vont vérifier et décider. Vous n'avez rien à faire. C'est une bonne question. Je le vérifierai plus tard pour lire les réponses.
SarpSTA
@SarpSTA Étant donné le nombre de votes positifs, n'est-il pas temps de supprimer le fil des commentaires lors du passage à InfoSec?
yurkennis
Non, ce n'est pas le cas.
SarpSTA

Réponses:

16

La faiblesse réside en fait dans les empreintes digitales elles-mêmes et non dans la façon dont le Nexus 5x l'implémente.

Les empreintes digitales sont moins sécurisées car elles ne peuvent pas être modifiées comme un mot de passe et ne peuvent pas être révoquées si elles sont compromises.

Les empreintes digitales sont également laissées partout comme, à un verre. Ils peuvent ensuite être capturés et reproduits. Pensez-y: Android utilise un écran tactile. Les empreintes digitales sont laissées sur l'écran après l'utilisation de l'appareil.

Avec une empreinte digitale c'est presque bon alors c'est assez bon. Parce que la façon dont il est touché ou si vous avez une coupure. Rendre les empreintes digitales non lavables. Par rapport à une épingle qui doit être parfaite à chaque fois.

Ils peuvent être pris sans autorisation. Non seulement d'être laissé pour compte mais également légalement sans consentement. Si un mot de passe est dans votre tête, il doit être donné, laissant ainsi votre droit à la vie privée et votre droit de garder le silence.

Aux États-Unis, une personne est également protégée de témoigner contre elle-même par le cinquième amendement. Légalement, les empreintes digitales sont considérées comme des objets physiques car elles existent dans le monde physique. Ils ne sont donc pas protégés par le 5e amendement.

Bo Lawson
la source
1
J'appuie cette réponse. Des amis ont déverrouillé mon téléphone pendant que je dormais, donc les empreintes digitales ne sont pas vraiment sécurisées.
NVZ
Voudriez-vous étendre votre réponse pour clarifier les éléments suivants?
yurkennis
"Les empreintes digitales sont moins sécurisées car elles ne peuvent pas être modifiées comme un mot de passe" - pourquoi cela peut-il être un problème avec un smartphone réel?
yurkennis
"Les empreintes digitales sont moins sécurisées car elles ne peuvent pas être révoquées si elles sont compromises" - encore une fois, pourquoi est-ce une préoccupation dans la vraie vie? Si vous possédez toujours le téléphone, vous pouvez supprimer les empreintes digitales précédemment ajoutées du téléphone pour désactiver le déverrouillage avec elles. Et si vous ne tenez plus le téléphone, vous pouvez verrouiller / désactiver le téléphone à distance, quel que soit le type de verrouillage utilisé.
yurkennis
0

Certains capteurs d'empreintes digitales ne sont pas très sécurisés par rapport aux modèles.

Pourquoi?

Parce que les gens ont réussi à détourner les capteurs d'empreintes digitales ! Comment? Lorsque vous touchez le scanner d'empreintes digitales, il est probable que vous le touchiez généralement avec l'avant de votre doigt. Cela laisse une empreinte digitale. Quelques heures plus tard, disons, vous obtenez un texte, alors vous y mettez à nouveau le doigt pour le déverrouiller. Ce processus se répète, et bien que vous ne le remarquiez pas, vous avez mis plusieurs angles de votre empreinte digitale sur le capteur, car il est impossible de placer votre doigt exactement au même endroit à chaque fois. Si un pirate a volé votre téléphone, il pourrait utiliser une caméra haute résolution ou même un scanner, d'ailleurs, pour lire ce qui se trouve sur le capteur. Il détectera tous les différents angles et comment ils sont alignés. Maintenant, le pirate peut imprimer ces motifs sur un papier et, en utilisant l'une des nombreuses méthodes établies, rendre l'encre conductrice. Il le touche au capteur d'empreintes digitales et BOOM! Votre téléphone a été piraté. Et comme il y a moins d'orientations de votre doigt que de combinaisons de motifs possibles, il pourrait simplement essayer une autre si la précédente ne fonctionnait pas. Le pire, c'est qu'une fois qu'il a cette copie, il peut pirater tout autre appareil que vous achetez, tant qu'il dispose d'un scanner d'empreintes digitales. Un schéma est cependant plus sûr. Selon mes calculs, il y a 1000000000 (un milliard) de modèles possibles différents.

Il y a une grille, 3x3, et donc il y a 9 points. Chaque point peut être le premier, le deuxième, le troisième, le quatrième, le cinquième, le sixième, le septième, le huitième, le neuvième, le dixième, ou ne pas être touché du tout. C'est dix options différentes pour 1. Mais nous avons 9, donc le nombre de combinaisons est de 10 à la neuvième, ce qui est 1000000000.

J'espère que cela t'aides.

ComputerGuy
la source