专栏名称: 36氪
36氪(36Kr.com)是中国领先的科技新媒体,我们报道最新的互联网科技新闻以及最有潜力的互联网创业企业。
目录
51好读  ›  专栏  ›  36氪

开机密码有什么卵用吗?黑客可以一次性轻松破译! | 潮科技

36氪  · 公众号  · 科技媒体  · 2017-04-15 09:49

正文


这是36氪推出的晨间栏目「潮科技」。我们将筛选国内外科技公司的最新技术、潜力公司的酷产品、在实验室茁壮成长的新概念展现给大家。潮科技,又潮又有趣。


一次性破译四位数PIN码的准确率高达70%。




作者 | 谭菲君

编辑 | 傅博



在我们的生活全面“触网”的今天,网络安全一直是一个让人头疼又惊悚的话题。

虽然各大网站要求的登录密码越来越长,指纹和语音等生物识别技术也越来越成熟。但是我们依然要承认一点,那就是今天大多数手机的开机密码依然是简单的PIN码。

密码识别界面,三星躺枪

我们都知道PIN码不是那么的安全,但总是侥幸觉得应该还是能起到一定的保护作用。

但是现在英国纽卡斯尔大学教授的研究结果却告诉你,现在的PIN码根本形同虚设,黑客们通过你手机里各种传感器的数据就可以轻松破译你的PIN码。

日前,英国纽卡斯尔大学的研究专家在《国际信息安全》(International Journal of Information security)杂志上发表文章,他们在若干个著名的品牌手机上做了实验,而结果证明:

恶意网站以及安装的应用程序,可以轻松从手机中的运动传感器攫取信息,并破译我们的手机密码,进而窥视我们生活的方方面面。

纽卡斯尔大学计算机科学学院的研究员Maryam Mehrenzhad博士解释说:

“大多数智能手机、平板电脑和其他可穿戴设备现在都配备了众多传感器。从众所周知的GPS、摄像头和麦克风到诸如陀螺仪、NFC和旋转传感器等仪器,这些都是触及到密码的通道。”

仅仅通过分析用户行动时手机内部传感器接收到的各项数据指标,纽卡斯尔大学的研究员们一次性破译四位数PIN码的准确率高达70%。

虽然有些时候,研究员们的第一次破译尝试不成功,但是第五次的时候,他们破译的成功率…高达100%!

Oh my God!

虽然这种破译需要大量数据的支持,用户需要至少在设备上输入过50次PIN码,然后研究人员才能根据算法破译他们手机的密码(50次也不多好吗)。

但是想想我们花在手机上的时间吧,50次解锁时间说不定一两天就能够实现!

无处不在的传感器

各种可穿戴设备

今天,各式各样的手机app帮助我们记录每日的生活:走了多少步?睡了多久?睡眠质量如何?摄入了多少卡路里?…

自从“自我量化”成为现代人新的生活方式,健身应用就与传感器一起与我们的生活密不可分地捆绑在了一起。

我们的手机中大约有25种不同的传感器,它们与我们的生活息息相关:无论是最轻微的手腕运动,或是诸如坐、走、跑等以及不同形式的身体运动,传感器都可以记录下相关信息。

这些传感器现在已经成为大多数智能设备标准配置,用于提供有关设备及其用户的不同信息。然而这其中只有少数的传感器(例如相机和GPS)会在访问设备时向你的手机发出提醒。

Maryam Mehrenzhad博士解释说:

“在某些浏览器上我们发现,如果你在手机或平板电脑上打开一个包含类似恶意传感器的页面,然后再打开你的网上银行帐户,同时不关闭上一个选项卡,传感器则可以监测到你输入的每一个细节。

更糟糕的是,在某些情况下,除非你完全关闭它们,否则当您的手机被锁定时,他们甚至可以窥探你。“

而且研究发现,用户的每次触摸、点击、滚动都会触发特定的方向和运动轨迹,所以在每一个网页上,传感器都能够确定用户点击的页面区域以及他们正在输入的内容。

“这有点像拼图——你放在一起的东西越多,你就越容易看到图片的全貌。”

方便与安全,你更看重哪一个?

PIN码目前是主流的手机密码系统。尽管随着手机不断的更新换代,拥有更酷炫的功能和更好的用户体验,PIN码依然是相较而言最方便的验证系统。

但是因为传感器并没有统一的标准实施管理,所以潜在的网络安全风险不容忽视。

特别是当浏览器和传感器结合时,问题会变得日益严重:

浏览器(无论是手机或平板应用,还是电脑浏览器)都能够提供额外的信息。当这些信息与传感器数据相结合时,个人信息的破译将变得易如反掌。

Mehrenzhad博士表示,他们的团队已经向互联网行业中的所有的浏览器供应商发出了提醒,包括谷歌和苹果,但没有人能够给出完美的解决方案。


点击蓝字,查看更多潮科技:

来到这几处贫民窟,你或许可以一窥「智能城市」的模样

当 AI 遇上充气娃娃:你愿意和“她”聊天吗?

来「月经」的机器人,科学家用它帮助女性试药



长按识别图片二维码▲

下载「创投助手」APP