App per conservare i PIN in maniera +/- sicura

[LCyberspazio]

Salve alla community,

condivido con voi il progetto di questa domenica: in pratica il proof of concept di un sistema per meorizzare i pin composti da poche cifre numeriche, come quelli delle SIM card e delle carte prepagate.

Potete vedere il video con lo spiegone prima di leggere lo spiegone:

(lo so... me trema la mano... che devo fa...)

Il sistema parte da un numero opportunamente confezionato e da pulsanti grafici di facile memorizzazione che svolgono semplici operazioni matematiche su quel numero. Solo voi tuttavia potete sapere che, dopo una certa sequenza, in quel numero sarà presente il pin che cercavate.

Il fulcro del sistema è che è molto più facile ricordare una sequenza di simboli grafici che una sequenza numerica (io non me la riuscivo a ricordare, per questo ho armato tutto questo casino rotflmao ).

Ovviamente il numero di partenza è sempre lo stesso e un attaccante sa che è possibile ottenere il codice contenente il pin eseguendo quelle semplici operazioni matematiche con la tecnica del brute force ma l'app è progettata appunto per quei pin che devono essere immessi manualmente un massimo di 3 volte prima del blocco del sistema, rendendo inutile il bruteforce. Poi va considerato che il sistema non ha un "punto di arrivo", non viene generato alcun feedback tipo "codice esatto!", "pin decifrato con successo", "codice errato" o altro, quindi di base non si può sapere quanti simboli servono per arrivare al pin e se si sta immettendo una sequenza errata.

Secondo me non è un sistema troppo stupido... ma essendo solo un proof of concept magari non ho valutato altri problemi e su questo potete insultarmi senza problemi

 

[xDazuk]

Ciao, alla fine l'idea non è nemmeno male c'è pensare che senza il numero della carta il codice è praticamente inutile.

Proporrei anche di memorizzare i simboli con magari gli ultimi numeri della carta ad esempio:
Carta 5780 Sequenza (Immagini a caso)
Non mi preoccuperei molto della sicurezza visto che se un hacker dovesse realmente attaccare il telefono i nostri problemi sarebbero altri e più gravi poi non conoscendo il numero della carta il pin diventa inutile.

Puoi anche aggiungere la possibilità di creare Pin con chiavi differenti tipo l'id del telefono quindi da avere su ogni dispositivo codici diversi anche con gli stessi simboli, però non conoscendo il sistema non so è fattibile.

 

[LCyberspazio]

Ciao xDazuk, grazie per i suggerimenti

Proporrei anche di memorizzare i simboli con magari gli ultimi numeri della carta ad esempio:
Carta 5780 Sequenza (Immagini a caso)

Intendi di partire immettendo il 5780 e, premendo quindi la sequenza di simboli trasformare il 5780 nel pin di quella carta? Se intendi questo si può fare ed è anche un'idea che mi piace parecchio.

Non mi preoccuperei molto della sicurezza visto che se un hacker dovesse realmente attaccare il telefono i nostri problemi sarebbero altri e più gravi poi non conoscendo il numero della carta il pin diventa inutile.

questo è vero... se ti attacca il telefono magari trova l'app loggata di paypal, poste, banca, bitcoin wallet, la tua vita nei social e, se ti dice sfiga, foto che i soldi al pirata glieli devi dare di tua spontanea volontà LOL

Puoi anche aggiungere la possibilità di creare Pin con chiavi differenti tipo l'id del telefono quindi da avere su ogni dispositivo codici diversi anche con gli stessi simboli, però non conoscendo il sistema non so è fattibile.

Si, sarebbe fattibile tecnicamente ed anche utile ma per scelta progettuale non mi piacerebbe produrre un'app del genere con la richiesta di privilegi per leggere le credenziali del telefono. Gli utenti più paranoici (tipo me [tin foil hat]) non si fiderebbero

Grazie dei suggerimenti.

 

[xDazuk]

No in teoria 5780 sarebbero le ultime 4 cifre della carta, magari per chi ne ha più di una.

 

[LCyberspazio]

Ah ok, in quel senso. Si, si potrebbe fare anche così. Giustamente uno può avere più carte di credito, è vero.

 

[ONE OK ROCK]

Tbh è insicurissimo, basta decompilare l'app e capire l'algoritmo, l'unico modo per salvarli in sicurezza è criptarli

 

[xDazuk]

Tbh è insicurissimo, basta decompilare l'app e capire l'algoritmo, l'unico modo per salvarli in sicurezza è criptarli

Si quello sicuramente ma più che altro serve per ricordarli diciamo in modo "fisico" quando ti trovi allo sportello o a dover pagare di persona, non penso che un ladro da strada abbia le capacità di decompilare il codice, ad un hacker il codice non serve visto che per acquisti online non ha bisogno poi non penso sia così stupido da usare una prepagata. Se poi ci sono un hacker ed un ladro di strada ovvio li amen ma la vedo dura, io 10 minuti chiami la banca blocchi tutti ora che decompila il codice... Però criptarli sarebbe una misura di sicurezza in più.

 

[LCyberspazio]

Ciao One,
perché dici che è insicurissimo? Non si basa su alcun segreto e non serve decompilare l'app per sapere le operazioni aritmetiche svolge ciascun pulsante, ti basta cliccare ogni pulsante con il numero di partenza e scoprire l'operazione.
Ma anche quando hai capito tutte le operazioni ed hai il numero di partenza, in realtà non hai idea di quale sia il punto di arrivo. E' ovvio che esista una sequenza che ti porta al PIN ma di certo non puoi fare un brute force quando hai 3 tentativi prima che la carta che hai rubato si blocchi. (A parte sempre il fatto che hai sbloccato il telefono).

Hai visto il video? Se io ti scrivo tutto l'algoritmo, a partire da quel numero, tu riesci ad arrivare al PIN non conoscendo la sequenza di simboli?

EDIT: ovviamente anch'io sono per la crittografia eh, ci mancherebbe
Però qui non si tratta di offuscare nulla. Tutto può e deve essere in chiaro perché tanto il fulcro è la combinazione di simboli, poiché qualsiasi altra combinazione ti porta a numeri diversi e più simboli premi più numeri diversi ottieni.