2018/04/17

Código PIN de 6 dígitos já não chega para manter um iPhone seguro


Ferramentas como o GrayKey, capazes de crackar iPhones a preço "acessível" e de forma rápida, estão a demonstrar que já não basta usar um código numérico de 4 ou 6 dígitos para manter um iPhone seguro.

Tradicionalmente, os utilizadores de iPhones poderão sentir-se seguros ao usar um PIN com apenas quatro dígitos, confiando no processo de que a cada tentativa errada o iPhone irá exigir um período de espera cada vez mais prolongado que inviabiliza fazer demasiadas tentativas de forma rápida. No entanto, há uma ferramenta chamada GreyKey que parece ser capaz de ultrapassar esse período de espera, e que consegue testar todas as tentativas de forma bastante mais rápida... e demonstrando que os códigos PIN numéricos já não são suficientes para garantir a segurança.


Perante este cenário, o GreyKey será capaz de encontrar um código PIN de 4 dígitos num máximo de 13 minutos no pior caso (6.5 minutos em média); sendo que mesmo um código PIN de 6 dígitos, como o que a Apple passou a exigir para o iOS pode ser crackado num máximo de 22.2 horas (ou 11.1 horas em média).

Só quando se passa para um código de 8 dígitos é que a coisa começa a tornar-se mais trabalhosa, sendo necessário esperar uma média de 46 dias para descobrir o código (92.5 dias no pior caso); e com um código de 10 dígitos, estamos a falar de mais de 12 anos em média (e 24 anos para o pior caso) - já verdadeiramente impraticável para todos os propósitos.

Dica: uma forma simples de ampliarem o vosso PIN actual de 4 dígitos para 8 ou 12, consiste em simplesmente repetirem-no. Um PIN que seja 1234 passará a 12341234 ou 123412341234 (para efeito extra, apliquem uma qualquer variação, como somar, subtrair, trocar um dos dígitos).

Em alternativa, será suficiente abandonar os PINs numéricos e optar por uma palavra chave alfanumérica, com letras (maiúsculas e minúsculas), números e símbolos. Neste caso, mesmo um passcode com 8 ou 9 caracteres seria impraticável de descobrir via ataque brute force a não ser que escolhessem uma password já existente nas bases de dados de passwords capturadas.


Para mudarem o estilo de código de desbloqueio do iPhone bastará:
  1. Ir a Settings
  2. Tocar no Touch ID & Passcode (e introduzir o PIN actual)
  3. Tocar em Change Passcode (introduzir o PIN novamente)
  4. Tocar em Password options
  5. Escolher Custom Alphanumeric Code
  6. Introduzir o novo código, com números, letras e símbolos

O incómodo de usar um código deste tipo é grandemente minimizado pelo facto de, na maioria dos casos, a identificação ser feita via Touch ID ou Face ID, sendo apenas necessário utilizar o código quando o reconhecimento falha, quando o iPhone é reiniciado, ou quando já se passaram vários dias desde a última vez que o introduzimos. De resto, para efeitos de privacidade contra forças da autoridade, é melhor assumir que códigos numéricos de 4 ou 6 dígitos são equivalentes a não ter qualquer protecção num iPhone.

4 comentários:

  1. Este comentário foi removido pelo autor.

    ResponderEliminar
    Respostas
    1. O exploit utilizado para ultrapassar o tempo de espera também deverá ultrapassar o processo de limpeza ao fim das 10 tentativas erradas.

      Eliminar
    2. Parece então que o problema não está no tamanho da passa, mas sim na existência de bugs. Se o tempo de espera funcionar me condições não estou a ver como se possa fazer bruteforce.

      Eliminar
    3. Há coisas contra as quais não se conseguem evitar... usando hacks por hardware para impedir a gravação na flash, etc. (fazendo com que o iPhone pense que é sempre a primeira tentativa do código)

      Eliminar