Сейчас практически все мобильные приложения, которые хоть как-то оперируют важной для пользователя информацией, защищены паролем и, для удобства использования, pin-кодом.
Но вечный вопрос безопасности и удобства, какую длину pin-кода выбрать,чтобы было и удобно и безопасно? И нужно ли запрещать использование простых кодов, вроде 0000?
Наткнулся на интересное исследование, которое пытается эти вопросы разрешить 🤓 Ребята проверили, какой список запрещенных пинов использует Apple, соорудив конструкцию из айфона, лего и распберри с камерой, и как подобные списки влияют на безопасность.
Выводы очень неоднозначные, но точно интересные. Согласно результатам исследования, использование 6-значных pin-кодов вместо 4-значных практически не повышает безопасность и более того, может даже снизить ее. В статье можно скачать само исследование, все участвовавшие черные списки, а так же посмотреть выступление.
#Pin #Security #Research
https://this-pin-can-be-easily-guessed.github.io/
Но вечный вопрос безопасности и удобства, какую длину pin-кода выбрать,чтобы было и удобно и безопасно? И нужно ли запрещать использование простых кодов, вроде 0000?
Наткнулся на интересное исследование, которое пытается эти вопросы разрешить 🤓 Ребята проверили, какой список запрещенных пинов использует Apple, соорудив конструкцию из айфона, лего и распберри с камерой, и как подобные списки влияют на безопасность.
Выводы очень неоднозначные, но точно интересные. Согласно результатам исследования, использование 6-значных pin-кодов вместо 4-значных практически не повышает безопасность и более того, может даже снизить ее. В статье можно скачать само исследование, все участвовавшие черные списки, а так же посмотреть выступление.
#Pin #Security #Research
https://this-pin-can-be-easily-guessed.github.io/
this-pin-can-be-easily-guessed.github.io
This PIN Can Be Easily Guessed
A comprehensive study on the security and usability of user-chosen 4- and 6-digit smartphone unlock PINs.
Не могу не поделиться шикарной библиотекой для реализации аутентификации в приложении по PIN-коду.
Библиотека вычисляет хэш PIN-кода с помощью функции PBKDF2 и сохраняет его в файле. Файл, в свою очередь зашифрован алгоритмом AES-256 в режиме GCM, а ключи хранятся в AndroidKeystore.
В своих рекомендациях на тренингах и после аудитов я предлагал использовать подобный подход, но теперь есть готовая библиотека, которая реализует всё за вас! 🔥
Разработчик библиотеки ведёт собственный канал @android_guards_today, на который я настоятельно рекомендую подписаться, контент авторский и очень годный! Ещё и чат есть 🤓
#Android #Cryptography #PIN
Библиотека вычисляет хэш PIN-кода с помощью функции PBKDF2 и сохраняет его в файле. Файл, в свою очередь зашифрован алгоритмом AES-256 в режиме GCM, а ключи хранятся в AndroidKeystore.
В своих рекомендациях на тренингах и после аудитов я предлагал использовать подобный подход, но теперь есть готовая библиотека, которая реализует всё за вас! 🔥
Разработчик библиотеки ведёт собственный канал @android_guards_today, на который я настоятельно рекомендую подписаться, контент авторский и очень годный! Ещё и чат есть 🤓
#Android #Cryptography #PIN
