Устройство для хранения пин кодов. PIN Master – надежный способ хранения паролей от кредиток. Приложение дня! Что делать, если PIN-код администратора заблокирован

Добрый день. Разбираюсь с безопасным хранением информации в своем приложении для Android, и столкнулся с интересным моментом: можно ли считать PIN код для входа в приложение (самопальный) достаточной защитой?
Допустим, у злоумышленника есть физических доступ к устройству (ну украл он его, почему нет? чем не сценарий атаки?). В самом простом случае, если разработчик не задумался о безопасности хранения данных, можно или банально открыть приложение и получить доступ ко всей интересной злоумышленнику информации, или же слить файл Бд (sqlite, например) и расковыряв его вытянуть все данные. отсюда напрашиваются следующие выводы:
1. Необходима защита для входа в приложение (PIN код или пароль)
2. Необходимо хранить все данные в зашифрованном виде.

Идея проста - у пользователя есть некий, заданный им, мастер-ключ, которым шифруется вся информация (БД). Ключ большой и длинный, и чтобы при каждом входе в приложение пользователю не надо было его вводить, вводим новую сущность - PIN код для входа в приложение (код из 4 цифр). Сам мастер-ключ хранится на этом же устройстве в зашифрованном виде, и ключом является PIN код (точнее, производная от него. Например, MD5 хеш). В данном случае все выглядит очень безопасно, не так ли? Но если подумать, смоделировать ситуацию. то все становится гораздо печальнее.

Допустим, злоумышленник выкрал девайс жертвы, и слил зашифрованную БД приложения. Далее, злоумышленник может банальным брутфорсом (10^4 комбинаций - мелочь) перебрать все возможные варианты PIN кода, пока не найдет нужный. Для этого необходимо знать алгоритм работы приложения, что не является существенной проблемой. Одно из правил защиты информации гласит: нельзя считать защищенной систему, вся защита которой заключается в секрете механизма защиты (перефразировал своими словами для подходящего случая). Узнать методику защиты не составляет большого труда. Далее, если процедура дешифровки БД выдает даже полную белиберду, злоумышленнику достаточно расковырять копию БД с известным PIN кодом (поставить приложение на свой девайс, установить PIN, заполнить данные, расковырять БД) и найти структуру хранения данных, а точнее сигнатуры данных (Например JSON - {_id: x, name: "xxxx"} и прогнать все варианты дешифровки через простой сигнатурный поиск (даже простой regex справится с задачей). А далее мы получаем:
1. Всю "защищенную" и "приватную" информацию пользователя
2. Заведомо корректный PIN для входа в приложение.

И неизвестно,что хуже. Допустим, что приложение для банк-клиента защищено именно так. В таком случае, зная PIN для входа в приложение и имея физический доступ к девайсу перевести все средства пользователя себе (PIN известен, СМС придет на это самое устройство) для злоумышленника не составляет труда.

Отсюда возникает вывод: если вся защита построена на PIN коде (уязвим для перебора) и имеется возможность провести брутфорс - защита не стоит ничего. Но при этом все банковские приложения используют этот (или похожий) механизм защиты.
Отсюда вопрос:
1. Действительно ли все так плохо и нельзя доверять подобным приложениям?
2. Реально ли разработать нормальную, устойчивую к взлому систему с использованием PIN кода для входа (не графический ключ и отпечаток пальца, а именно коротккий и легко перебираемый код)? Если да - то как?

З.Ы. Уверен, что чего-то важного я не знаю, и это мешает разобраться в вопросе.

В общем и целом задачка выглядит неразрешимой. Т.к. есть "черный ящик" - наше приложение, установленное на девайсе. Для получения всех данных нужно знать только четырехзначный пин, а он брутфорсится на раз. Считается., что имея на руках девайс, злоумышленник может выковырять любые данные оттуда. А отсюда вопрос - верно ли последнее утверждение? Может, есть какое-то супер защищенное хранилище Android? Локально хранящееся на устройстве, и которое достаточно сложно взломать? Если приложение будет иметь доступ туда - писать туда ключик, и задача решена. Но что это за загадочное место?

Итак, нашел . Все достаточно понятно расписано. Вывод простой - хранить ключи надо в KeyStore, но это не спасение, если девайс рутован. Нужно проверять, рутован ли девайс, и предупреждать пользователя. НО! Насколько я понял, есть возможность рутировать девайс без потери данных , а это означает, что злоумышленник может рутировать девайс, сохранив все данные, и расковырять KeyStore. Беда.

Но если не вдаваться в проблему рутования, то решение выглядит следующим образом: по PIN коду происходит вход в приложение, а приложение вытягивает ключ, сгенерированный при первом запуске приложения, из KeyStore и им расшифровывает БД. При этом не сохраняет расшифрованные данные в незащищенном месте (часто это используют для увеличения скорости работы приложения, этакое кеширование данных), т.к. эти данные можно вытянуть без проблем.

Теперь понятно, почему многие банковские приложения не запускаются на рутированных девайсах. Но это не решает проблемы рутирования без потери данных. Т.е. допустим, что злоумышленник умыкнул мой НЕ рутованный девайс, рутанул его, вытянул из KeyStore ключик для приложения банк-клиента, и вытянул мои данные. При этом, для проверки корректности PIN, необходимо где-то хранить его хэш (зашифрованный, соленый - и что? И соль и пароль шифрования лежит в уже доступном для злоумышленника KeyStore). Таким образом полным перебором можно подобрать PIN для входа в приложение, зайти в приложение и перевести все средства. Снести все банковские приложения, что-ли?))

Пин код карты банка – это идентификационный номер, который дает доступ владельцу карты к выполнению тех или иных финансовых операций. Это всегда четырехзначная комбинация – пароль. При получении карты на руки код предоставляется в закрытом конверте. Он присваивается автоматически и никто, кроме владельца, не должен его знать. Сохранность пин кода пластиковой карты от третьих лиц дает гарантии защиты от противозаконных действий мошенников.

Как подобрать идеальный пин-код для своей карты

Рin код карты нельзя заранее выбрать и продиктовать сотруднику банка, но его можно изменить. Чаще всего это делают люди, которым сложно запоминать разные цифры, либо те, кто считает такую комбинацию слишком легкой.

Поменять этот секретный номер можно через банкомат того банка, который выпустил карту или на его официальном сайте (если вы подключены к онлайн-банку). Совершить операцию по замене пин-кода допустимо только после авторизации карты.

Выбирая новый пин-код, нельзя:

• указывать 4 одинаковые цифры,
• выбирать цифры по порядку (к примеру, 4567),
• использовать даты рождения: свою, близких либо родственников.

Особенно внимательно подбирайте пин код кредитной карты. Иногда за смену pin-кода банк берет комиссию.

В случае, когда клиент забыл пин код карты, а конверт с этой комбинацией утерян, действия должны быть следующими:

1. Немедленно сообщить обслуживающему банку об этой ситуации;
2. В случае подозрения на кражу конверта с пин кодом можно заблокировать карту для сохранности оставшихся на ней средств (по телефону или же в отделении);
3. Написать заявление о намерении присвоить карте новый пин код, указав свою причину. С этим заявлением следует обратиться к менеджеру банка.
4. Если необходимо срочно получить деньги, а пин код банковской карты еще не доступен, то можно обратиться непосредственно в кассу банка, предварительно написав соответствующее заявление.

Такой же последовательности действий нужно придерживаться в случае утери самой карты. Вариантов того, как восстановить пин код карты в прежнем виде, не существует. После рассмотрения заявления в банке вам будет выдан новый «пластик» и новый пин код. При этом номер счета не поменяется, а оставшиеся деньги будут перенесены на полученную карту.

Если при снятии денег через банкомат 3 раза был неправильно введен пин код карты, то карта автоматически блокируется. Снять блокировку можно, обратившись по телефону в call-центр банка и назвав слово-код, которое вы оговаривали с банковским служащим в момент открытия карты.

Чтобы свести к минимуму возникновение проблемных ситуаций, а мошенники не нашли способ, как узнать пин код карты,накоторой хранятся ваши деньги, следует воспользоваться такими советами:

1. Хранить пин код в памяти или же написанный в зашифрованном виде, понятном только вам.
2. Не писать код на задней полосе карточки.
3. Не оставлять карту вне поля зрения, не давать уходить с ней официанту или кассиру. Помните: никто не должен узнать пин код банковской карты.
4. Не передавать данные о пластиковой карте, пин-коде в телефонном режиме.
5. Всегда иметь при себе записанный номер карты и обслуживающего банка.
6. При снятии денег в банкомате проверять наличие видеокамер, которые могут снимать вас со спины или с боку. Как правило, банкомат оборудован только одной камерой, расположенной в одной плоскости с экраном.

Когда-то использование пластиковых карт было для российской аудитории «в новинку». Недоверие постепенно сменилось признанием максимального комфорта. Многие даже отказались от хранения большой суммы наличными и предпочитают везде использовать пластиковые карты. У одного человека их количество очень часто может превышать одну-две и достигать даже пяти, а то и более. Вот только как не запутаться в пин-кодах от кредиток и не перепутать их друг с другом? С приложением PIN Master можно безопасно хранить пароли от разных карт и не держать все эти цифры в своей голове.

Среднестатистический пользователь мобильного устройства обычно записывает все пароли от своих карт в Заметки. Это самый распространенный метод, притом что еще и максимально небезопасный. С одной стороны можно всегда получить быстрый доступ к паролям (ведь iPhone всегда под рукой), с другой стороны, попадание мобильного телефона в чужие руки может иметь, сами знаете, какие последствия. Идеальный вариант – приложение PIN Master! Сейчас поймете почему…

Если коротко, то приложение PIN Master – это надежно, безопасно, персонализировано, красиво, а главное – бесплатно! В приложении можно хранить неограниченное число пин-кодов от ваших пластиковых карт, и не один чужой глаз не сможет понять вашу комбинацию засекречивания.

Добавляя новую карту, задавая ей персональное имя, перед вами появится большое поле, заполненное цифрами в произвольном порядке. Первое впечатление – как среди стольких цифр запомнить и расположить свой пароль? Но оно обманчивое…

Для себя вы выбираете определенную комбинацию из выделенных цифр и, например, располагаете свой пароль под ними, внутри и т.д. В качестве самого простого примера можно расположить четыре выделенных цифры подряд на одном из рядов и запомнить, что строго под ними находится ваш пин-код. Если ваша голова способна запоминать более сложные комбинации, включайте свою фантазию и придумывайте. Но даже самое простое решение уже поставит ваш пароль под защиту.

Персонализировать цифровое поле очень просто. Любую цифру можно выделять или изменять с помощью простого касания или длительного. Замочком можно заблокировать дальнейшие изменения. Подобрать комбинацию невозможно, потому что ключ от картинки знаете только вы. В итоге, расплачиваясь кредиткой в магазине, обналичивая купюры в банкомате, вы всегда имеете под рукой доступ к паролям от ваших карт в один клик.

Весомое преимущество приложения PIN Master – его стоимость. Приложение абсолютно бесплатно, не содержит встроенных покупок и рекламных баннеров, при этом имеет очень красивый минималистичный дизайн. Примитивные аналоги хранения паролей, как правило, платные, либо не гарантируют высокой степени защиты. Так чего ждать… Хватит записывать пароли, где попало или держать их в своей голове. Воспользуйтесь отличным решением проблемы – приложением PIN Master!

Токены, электронные ключи для доступа к важной информации, приобретают всю большую популярность в России. Токен сейчас – не только средство для аутентификации в операционной системе компьютера, но и удобное устройство для хранения и предъявления персональной информации: ключей шифрования, сертификатов, лицензий, удостоверений. Токены надежнее стандартной пары “логин/пароль” за счет механизма двухфакторной идентификации: то есть пользователь не только должен иметь в наличии носитель информации (непосредственно сам токен), но и знать PIN-код.

Основных форм-факторов, в которых выпускаются токены, три: USB-токен, смарт-карта и брелок. Защита при помощи PIN-кода чаще всего встречается в USB-токенах, хотя последние модели USB-токенов выпускаются с возможностью установки RFID-метки и с жидкокристаллическим дисплеем для генерации одноразовых паролей.

Остановимся подробнее на принципах функционирования токенов с PIN-кодом. PIN-код - это специально заданный пароль, который разбивает процедуру аутентификации на два этапа: присоединение токена к компьютеру и ввод собственно PIN-кода.

Наиболее популярные модели токенов на современном электронном рынке России – Рутокен, eToken от компании “Аладдин”, и электронный ключ от компании “Актив”. Рассмотрим наиболее часто задаваемые вопросы касательно PIN-кодов для токена на примере токенов этих производителей.

1. Какой PIN-код используется по умолчанию?

В таблице ниже представлены информация о PIN-кодах по умолчанию для токенов Рутокен и eToken. Пароль по умолчанию отличается для разных уровней владельцев.

2. Надо ли изменять PIN-код по умолчанию? Если да, то в какой момент работы с токеном?

3. Что делать, если PIN-коды на токене неизвестны, а PIN-код по умолчанию уже сброшен?

Единственный выход - полностью очистить (отформатировать) токен.

4. Что делать, если PIN-код пользователя заблокирован?

Разблокировать PIN-код пользователя можно через панель управления токена. Для выполнения этой операции необходимо знать PIN-код администратора.

5. Что делать, если PIN-код администратора заблокирован?

Разблокировать PIN-код администратора невозможно. Единственный выход - полностью очистить (отформатировать) токен.

6. Какие меры безопасности предприняты производителями для снижения риска подбора пароля?

Основные пункты политики безопасности для PIN-кодов USB-токенов компаний “Аладдин” и “Актив” представлены в таблице ниже. Проанализировав данные таблицы можно сделать вывод, что eToken предположительно будет иметь более защищенный пин код. Рутокен, хоть и позволяет задавать пароль всего из одного символа, что небезопасно, по остальным параметрам не уступает продукту компании “Аладдин”.

Важность сохранения PIN-кода в секрете известна всем тем, кто использует токены в личных целях, хранит на нем свою электронную подпись, доверяет электронному ключу информацию не только личного характера, но и детали своих бизнес-проектов. Токены компаний “Аладдин” и “Актив” обладают предустановленными защитными свойствами и вместе с определенной долей предосторожности, которая будет проявлена пользователем, снижают риск подбора пароля до минимума.

Программные продукты Рутокен и eToken представлены в различных конфигурациях и форм-факторах. Предлагаемый ассортимент позволит вам выбрать именно ту модель токена, которая наиболее отвечает вашим требованиям, будь то