🔗
Почитал тут статейку (немного устаревшую, но не критично) про шифрование этих ваших телефонов на android. Ну что я могу сказать? Всё плохо. До версии android 6 всё было совсем плохо, после тоже не фонтан. Суть простыми словами:
Память телефона зашифрована хорошим ключем с хорошим алгоритмом тысячекратно провереным всеми кому не лень (aes-128-cbc). Проблема в том, что этот ключ шифрования зашифрован другим ключем, который в свою очередь получается из вашего пароля/пинкода/паттерна (scrypt+rsa). Если подобрать пароль, то можно расшифровать этот ключ. Подбирать пароль можно двумя способами: по чесноку на включеном телефоне (и там моментально упрешься в лимиты и даже пинкод из 4 цифр будет подбирать год), или распотрошить телефон и ковырять память.
А подбирает компьютер быстро. все 4-х значные символьные пинкоды он проверит за милисекунды, все паттерны на поле 3*3 за несколько минут на среднем компе, поле 4Х4 тоже долго не простоит. Чтобы усложнить перебор в версии 5 добавили к просто хэшу пароля ещё необходимость его подписать в специальном защищеном модуле внутри телефона, что в теории должно не дать перебрать даже пинкод из 4 цифр за приемлимое время. Проблема в том, что там черт знает как и что реализовано уже разработчиками телефона. Напримре чипы от qualcomm до 2016 года уязвимы к извлечению ключа из защищеной области и дальше можно подбирать опять очень быстро. Есть куча всяких обходных способов обойти лимиты на перебор, хрен знает что там вообще разработчики вашего процессора и телефона наклепали. Короче можно надеяться, но лучше не надо.
ВЫВОДЫ:
Так что единственный вменяемый способ хоть сколько-нибудь защитить ваш телефон например от лап нашего государства (или любого другого) это пароль, дамы и господа.
Хороший такой пароль. Символов на 10 хотя бы (буквы и цифры, а вместо спецсимволов проще добавить ещё один знак).
Ну и конечно телефон ОБЯЗАТЕЛЬНО надо выключить, если вы опасаетесь, что в него захотят залезть. Для этого надо либо тыкнуть в экран, что палево, либо просто 10 секунд держать кнопку включения до вибрации.
Почитал тут статейку (немного устаревшую, но не критично) про шифрование этих ваших телефонов на android. Ну что я могу сказать? Всё плохо. До версии android 6 всё было совсем плохо, после тоже не фонтан. Суть простыми словами:
Память телефона зашифрована хорошим ключем с хорошим алгоритмом тысячекратно провереным всеми кому не лень (aes-128-cbc). Проблема в том, что этот ключ шифрования зашифрован другим ключем, который в свою очередь получается из вашего пароля/пинкода/паттерна (scrypt+rsa). Если подобрать пароль, то можно расшифровать этот ключ. Подбирать пароль можно двумя способами: по чесноку на включеном телефоне (и там моментально упрешься в лимиты и даже пинкод из 4 цифр будет подбирать год), или распотрошить телефон и ковырять память.
А подбирает компьютер быстро. все 4-х значные символьные пинкоды он проверит за милисекунды, все паттерны на поле 3*3 за несколько минут на среднем компе, поле 4Х4 тоже долго не простоит. Чтобы усложнить перебор в версии 5 добавили к просто хэшу пароля ещё необходимость его подписать в специальном защищеном модуле внутри телефона, что в теории должно не дать перебрать даже пинкод из 4 цифр за приемлимое время. Проблема в том, что там черт знает как и что реализовано уже разработчиками телефона. Напримре чипы от qualcomm до 2016 года уязвимы к извлечению ключа из защищеной области и дальше можно подбирать опять очень быстро. Есть куча всяких обходных способов обойти лимиты на перебор, хрен знает что там вообще разработчики вашего процессора и телефона наклепали. Короче можно надеяться, но лучше не надо.
ВЫВОДЫ:
Так что единственный вменяемый способ хоть сколько-нибудь защитить ваш телефон например от лап нашего государства (или любого другого) это пароль, дамы и господа.
Хороший такой пароль. Символов на 10 хотя бы (буквы и цифры, а вместо спецсимволов проще добавить ещё один знак).
Ну и конечно телефон ОБЯЗАТЕЛЬНО надо выключить, если вы опасаетесь, что в него захотят залезть. Для этого надо либо тыкнуть в экран, что палево, либо просто 10 секунд держать кнопку включения до вибрации.
Ах да. В принципе можно поставить на шифрование большой и сложный пароль, а на разблокировку относительно простой графический ключ (ну чисто от шаловливых рук), но это требует некоторых скилов - инструкции в интернете. В любом случае главная защита это выключение телефона.
По поводу вчерашнего поста про пароли и андроид.
Anonymous Poll
17%
Автор нихуя не понимает и лучше б помолчал.
6%
Мне не интересно
77%
Мне интересно
🔗Про пароли
После вчерашнего поста в чатеге разгорелся спор о генерации паролей. Мне казалось, что там уже сто лет нет смысла ничего обсуждать, но нет. И так краткий ликбез по генерации паролей.
Человеку в жизни надо три пароля: пароль от шифрования диска, пароль от юзера, пароль от хранилища паролей.
Все эти три пароля должны быть
либо случайная комбинация букв в разных регистрах и цифр - 11 символов
либо случайная комбинация букв в одном регистре и цифр - 12 символов
либо пароль из дефолтного pwgen (или другого генератора произносимых паролей) - 15 символов
либо парольная фраза из 6 слов из словаря на 2048 слов
Спецсимволы не нужны. Пароли нельзя выдумывать из головы. Пароли должен генерировать генератор паролей. Фразы тоже нельзя генерировать из головы, как и брать из книг/песен/фильмов. И пароли тоже нельзя брать оттуда. Как впрочем генерировать из головы. И пароли и фразы. Нет - другая раскладка и чё-то там заменить и дописать цифр - херня.
Простыня с более подробным объяснением по ссылке.
После вчерашнего поста в чатеге разгорелся спор о генерации паролей. Мне казалось, что там уже сто лет нет смысла ничего обсуждать, но нет. И так краткий ликбез по генерации паролей.
Человеку в жизни надо три пароля: пароль от шифрования диска, пароль от юзера, пароль от хранилища паролей.
Все эти три пароля должны быть
либо случайная комбинация букв в разных регистрах и цифр - 11 символов
либо случайная комбинация букв в одном регистре и цифр - 12 символов
либо пароль из дефолтного pwgen (или другого генератора произносимых паролей) - 15 символов
либо парольная фраза из 6 слов из словаря на 2048 слов
Спецсимволы не нужны. Пароли нельзя выдумывать из головы. Пароли должен генерировать генератор паролей. Фразы тоже нельзя генерировать из головы, как и брать из книг/песен/фильмов. И пароли тоже нельзя брать оттуда. Как впрочем генерировать из головы. И пароли и фразы. Нет - другая раскладка и чё-то там заменить и дописать цифр - херня.
Простыня с более подробным объяснением по ссылке.
🔗
В 2012 году все мудаки врали, что блокировки они для защиты детей. В 2019 уже не говорят про защиту детей - тяжело крыть контр-примеры типа https://2019.vote.
Теперь про новый закон врут, что он про защиту рунета от американцев. А товарищ Ашманов (не смотря на то что мудак и должен мне денег) был честен. Сразу сказал, что это все делается ради того, чтобы у государства был рубильник интернета - https://digital.gov.ru/ru/events/30986/ .
Как у него при этом в голове вмещается поддержка всего творящегося пиздеца я не понимаю.
В 2012 году все мудаки врали, что блокировки они для защиты детей. В 2019 уже не говорят про защиту детей - тяжело крыть контр-примеры типа https://2019.vote.
Теперь про новый закон врут, что он про защиту рунета от американцев. А товарищ Ашманов (не смотря на то что мудак и должен мне денег) был честен. Сразу сказал, что это все делается ради того, чтобы у государства был рубильник интернета - https://digital.gov.ru/ru/events/30986/ .
Как у него при этом в голове вмещается поддержка всего творящегося пиздеца я не понимаю.
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации
Круглый стол «Черные списки Рунета: защита или нападение» с участием главы Минкомсвязи России Николая Никифорова (телеканал «Дождь»…
Индекс свободы интернета упал в три за последние три года. Если немного поапроксимировать на глаз по 36 точкам, то получается летом следующего года индекс свободы интернета станет равен нулю. Мне чисто интересно как это технически будет выглядеть.
Не то чтобы я был сильно оптимистом про будущее рунета, но чё-то как-то индекс выглядит оторванным от реальности.
Не то чтобы я был сильно оптимистом про будущее рунета, но чё-то как-то индекс выглядит оторванным от реальности.
🔗
Ненавижу суеверия в айти, когда кто-нибудь начинает выдавать свои наблюдения, которые получили пару подтверждений, за правила которыми стоит руководствовать окружающим.
Ненавижу суеверия в айти, когда кто-нибудь начинает выдавать свои наблюдения, которые получили пару подтверждений, за правила которыми стоит руководствовать окружающим.
🔗
Решил прочитать Улисс. На первой странице пять сносок. Первая сноска на 10 страниц, две другие по две, и ещё пара по предложению. И там дальше ещё дофига. Мамочке бы понравилось наверное.
Решил прочитать Улисс. На первой странице пять сносок. Первая сноска на 10 страниц, две другие по две, и ещё пара по предложению. И там дальше ещё дофига. Мамочке бы понравилось наверное.
🔗Лайфхак
Вы пришли в кафе а там включён телик с отвратительным говном? Хотите оставить ребёнка в детской комнате, но там включён кислотный наркомультик? Можно за 1000р купить "Кнопкус" у Татьяныча. А можно проверить есть ли у вас в смартфоне IrDA (есть в большинстве xiaomi) и поставить крошечное опенсорсное приложение https://play.google.com/store/apps/details?id=com.redirectapps.tvkill
Вы пришли в кафе а там включён телик с отвратительным говном? Хотите оставить ребёнка в детской комнате, но там включён кислотный наркомультик? Можно за 1000р купить "Кнопкус" у Татьяныча. А можно проверить есть ли у вас в смартфоне IrDA (есть в большинстве xiaomi) и поставить крошечное опенсорсное приложение https://play.google.com/store/apps/details?id=com.redirectapps.tvkill
🔗
Всё-таки говнокод не зависит от языка. Читаю я тут хэшикорповский код на го, которые вроде как считаются клёвыми и образцовыми гошниками. А там по 9 уровней вложености кода и функции на 300 строк длиной.
Всё-таки говнокод не зависит от языка. Читаю я тут хэшикорповский код на го, которые вроде как считаются клёвыми и образцовыми гошниками. А там по 9 уровней вложености кода и функции на 300 строк длиной.