Permalink
Browse files

senhas: adicionado 2 ataques a pincodes e a historia do robô feito pa…

…ra abrir cofres
  • Loading branch information...
caioau committed Aug 29, 2017
1 parent e060bb4 commit 20865027a29befee7264d3cf7915ae4f4a35c458
Showing with 32 additions and 0 deletions.
  1. BIN website/senhas/pincode-Thermal.jpg
  2. +13 −0 website/senhas/senhas.html
  3. +19 −0 website/senhas/senhas.md
Binary file not shown.
@@ -25,6 +25,7 @@ <h2 id="edits">Edits:</h2>
<li>18fev2017: Publicação!</li>
<li>23mar2017: 2a. revisão: <a href="https://github.com/caioau/caioau-personal/commit/3931d7dbb5761b2c220e83a314d693c30a1709af#diff-9d2672cbaf33804746ef196e78b86a47">diff</a> : agradecimento a correções do <a href="https://twitter.com/corvolinoPUNK">@corvolinoPUNK</a></li>
<li>23jul2017: 3a. revisão: adicionando logaritmo ao glossário : <a href="https://github.com/caioau/caioau-personal/commit/83929d54f45bffedac26e233dcd02dc33cdfbef4?short_path=9d2672c#diff-9d2672cbaf33804746ef196e78b86a47">diff</a> : agradecimento a revisão da Vulcanica</li>
<li>29aug2017: adicionado 2 ataques a pincodes e a historia do robô feito para abrir cofres: <a href="">diff</a> : inspiração de lohe.</li>
</ul>
<h2 id="in-memoriam">In Memoriam:</h2>
<p>Rodrigo Tambellini (Harry) grande amigo, entramos juntos na faculdade e vivemos juntos muitas coisas. Sdds Harry</p>
@@ -551,6 +552,7 @@ <h3 id="como-ele-conseguiu-esse-feito">Como ele conseguiu esse feito?</h3>
<li>entender a natureza humana na escolha dos segredos.</li>
<li>Usava de eng. social para descobrir (grande parte) dos segredos.</li>
</ul>
<p>No caso do Feynman, ele precisava que o cofre estivesse aberto para que ele descobrisse os 2 últimos números, será que isso não é uma grande limitação? E ele fez isso durante a década de 40, será que os cofres atuais não são melhores? Saiu em jul2017 na wired uma matéria contando a historia de um engenheiro que construiu um robô para ficar tentando as combinações para abrir o cofre, como Feynman ele também descobriu alguns &quot;atalhos&quot; para diminuir o número de combinações, o robô demorou 15 minutos para descobrir a combinação do cofre, confira a matéria: <a href="https://www.wired.com/story/watch-robot-crack-safe/">watch a homemade robot crack a safe in just 15 minutes</a></p>
<h2 id="entropia-de-shannon">Entropia de Shannon:</h2>
<p>Intuitivamente pensamos que senha boa é uma senha toda complicada e difícil de lembrar, por exemplo “S&amp;nh5F0d@”. Ela tem 9 caracteres, maiúsculas, minúsculas, números e caracteres especiais — então ela deve ser boa. Porém, conforme veremos logo mais, essa senha é quebrada em segundos.<br><br></p>
<p>Pense em um número entre 1 e 20. Você pensou em 17, 7 ou 13? <a href="http://scienceblogs.com/cognitivedaily/2007/02/05/is-17-the-most-random-number/">Esse post</a> mostrou que 17 é o mais escolhido pelas pessoas, e que elas tendem a escolher números primos.</p>
@@ -825,4 +827,15 @@ <h3 id="pincodes">Pincodes:</h3>
<p>Se você usa o padrão do Android (aquela gradezinha 3x3): existem 389112 possibilidades que podem ser usadas (ou seja <strong>usar um PinCode VERDADEIRAMENTE ALEATÓRIO de 6 dígitos é um pouco melhor</strong> )</p>
<p>uma pesquisadora norueguesa chamada Marte Løge em sua tese de mestrado mostrou que mais de 10% dos padrões analisados, usa como padrão de desbloqueio uma &quot;letra&quot; que é a inicial do companheiro, filho, ou algo parecido.</p>
<p>veja o artigo na arstechnica falando sobre o assunto: <a href="https://arstechnica.com/security/2015/08/new-data-uncovers-the-surprising-predictability-of-android-lock-patterns/">New data uncovers the surprising predictability of Android lock patterns</a></p>
<h4 id="ataques-a-pincodes">Ataques a Pincodes:</h4>
<h5 id="câmera-térmica">Câmera térmica:</h5>
<p>Nesse video : <a href="https://youtu.be/8Vc-69M-UWk">iPhone ATM PIN code hack- HOW TO PREVENT</a> ele mostra um &quot;case&quot; para iPhone que é uma câmera térmica e através do calor dos dedos é possível descobrir o pincode digitado, conforme a foto abaixo:</p>
<div class="figure">
<img src="pincode-Thermal.jpg" height="300" />
</div>
<p>note que as teclas que estão com uma coloração mais clara estão mais quentes, ou seja foram digitadas por ultimo: ou seja o pincode digitado foi 12345.</p>
<p>para prevenir desse ataque ele sugere que coloque os dedos em todas as outras teclas, assim todas as teclas ficaram com uma coloração mais clara.</p>
<h5 id="acelerômetro-do-celular">Acelerômetro do celular:</h5>
<p>Nesse paper: <a href="https://arxiv.org/pdf/1605.05549v1.pdf">Stealing PINs via Mobile Sensors: Actual Risk versus User Perception</a> os pesquisadores conseguiram descobrir 80% dos pincodes digitados no celular através de um script no navegador que monitora o movimento através do acelerômetro.</p>
<p>Recomendação: Use uma senha forte pra criptografia de disco e um PinCode de (pelo menos) 6 dígitos pra desbloquear o celular. Tem um App chamado SnooperStopper (<a href="https://f-droid.org/repository/browse/?fdfilter=snoop&amp;fdid=cz.eutopia.snooperstopper">FDroid</a>) ele depois de 3 tentativas erradas na tela de desbloqueio o celular reinicia , pedindo a senha forte.</p>
@@ -30,6 +30,7 @@ Comecei a pesquisar e fazer a análise de senhas para um trabalho então resolvi
* 18fev2017: Publicação!
* 23mar2017: 2a. revisão: [diff](https://github.com/caioau/caioau-personal/commit/3931d7dbb5761b2c220e83a314d693c30a1709af#diff-9d2672cbaf33804746ef196e78b86a47) : agradecimento a correções do [\@corvolinoPUNK](https://twitter.com/corvolinoPUNK)
* 23jul2017: 3a. revisão: adicionando logaritmo ao glossário : [diff](https://github.com/caioau/caioau-personal/commit/83929d54f45bffedac26e233dcd02dc33cdfbef4?short_path=9d2672c#diff-9d2672cbaf33804746ef196e78b86a47) : agradecimento a revisão da Vulcanica
* 29aug2017: adicionado 2 ataques a pincodes e a historia do robô feito para abrir cofres: [diff]() : inspiração de lohe.
## In Memoriam:
@@ -382,6 +383,8 @@ Em suma, Feynman tinha a reputação de abridor de cofres, pois:
* entender a natureza humana na escolha dos segredos.
* Usava de eng. social para descobrir (grande parte) dos segredos.
No caso do Feynman, ele precisava que o cofre estivesse aberto para que ele descobrisse os 2 últimos números, será que isso não é uma grande limitação? E ele fez isso durante a década de 40, será que os cofres atuais não são melhores? Saiu em jul2017 na wired uma matéria contando a historia de um engenheiro que construiu um robô para ficar tentando as combinações para abrir o cofre, como Feynman ele também descobriu alguns "atalhos" para diminuir o número de combinações, o robô demorou 15 minutos para descobrir a combinação do cofre, confira a matéria: [watch a homemade robot crack a safe in just 15 minutes](https://www.wired.com/story/watch-robot-crack-safe/)
## Entropia de Shannon:
Intuitivamente pensamos que senha boa é uma senha toda complicada e difícil de lembrar, por exemplo “S&nh5F0d@”. Ela tem 9 caracteres, maiúsculas, minúsculas, números e caracteres especiais — então ela deve ser boa. Porém, conforme veremos logo mais, essa senha é quebrada em segundos.<br><br>
@@ -667,4 +670,20 @@ uma pesquisadora norueguesa chamada Marte Løge em sua tese de mestrado mostrou
veja o artigo na arstechnica falando sobre o assunto: [New data uncovers the surprising predictability of Android lock patterns](https://arstechnica.com/security/2015/08/new-data-uncovers-the-surprising-predictability-of-android-lock-patterns/)
#### Ataques a Pincodes:
##### Câmera térmica:
Nesse video : [iPhone ATM PIN code hack- HOW TO PREVENT](https://youtu.be/8Vc-69M-UWk) ele mostra um "case" para iPhone que é uma câmera térmica e através do calor dos dedos é possível descobrir o pincode digitado, conforme a foto abaixo:
![](pincode-Thermal.jpg){height=300px }
note que as teclas que estão com uma coloração mais clara estão mais quentes, ou seja foram digitadas por ultimo: ou seja o pincode digitado foi 12345.
para prevenir desse ataque ele sugere que enquanto digita o pincode mantenha os dedos sobre todas as outras teclas, assim todas as teclas ficaram com uma coloração mais clara.
##### Acelerômetro do celular:
Nesse paper: [Stealing PINs via Mobile Sensors: Actual Risk versus User Perception](https://arxiv.org/pdf/1605.05549v1.pdf) os pesquisadores conseguiram descobrir 80% dos pincodes digitados no celular através de um script no navegador que monitora o movimento através do acelerômetro.
Recomendação: Use uma senha forte pra criptografia de disco e um PinCode de (pelo menos) 6 dígitos pra desbloquear o celular. Tem um App chamado SnooperStopper ([FDroid](https://f-droid.org/repository/browse/?fdfilter=snoop&fdid=cz.eutopia.snooperstopper)) ele depois de 3 tentativas erradas na tela de desbloqueio o celular reinicia , pedindo a senha forte.

0 comments on commit 2086502

Please sign in to comment.