[Android] Sicherheitsfragen

[jbjbjb]

Ich habe ein paar Sicherheitsfragen zu Android.

Ich besitze ein Nexus 4 mit Stock Android 5.1, ohne Root. Das Handy ist verschlüsselt.

Meine Fragen nun:

- Könnte ein Dieb die PIN-Abfrage vom Screen Unlock umgehen und Zugriff auf meine Daten bekommen, solange mein Handy unverschlüsselt (also eingeschaltet) ist?

- Wie viele Ziffern müsste ein PIN heutzutage in Android Lollipop haben, um sicher zu sein vor unberechtigten Zugriffen? Lässt sich so ein PIN bei Android 5.1 noch einfach bruteforcen, oder ist sowas nicht mehr möglich?

- Wäre ein Passwort viel sicherer als ein PIN (also theoretisch sämtliche Zeichen vs nur Ziffern). Der PIN ist halt praktischer einzugeben (man muss leider für Screen Unlock und Encryption dasselbe PW / PIN verwenden).

Danke!

 

[DKK007]

Für die Verschlüsselung sollest du schon ein min. 8 Stelliges Passwort mit Groß-/Kleinscheibung Zahlen und Sonderzeichen nehmen. Eine 4-Stellige Pin ist kein Hindernis, sind ja nur 10000 Möglichkeiten.
Wenn man nun bedenkt, das man mit Programmen wie oclHashcat auf einer HD7970 1-3 Mrd Hashes pro Sekunde durchprobieren kann, kannst du dir ja ausrechnen, wie lang das dauert.

 

[Stryke7]

- Könnte ein Dieb die PIN-Abfrage vom Screen Unlock umgehen und Zugriff auf meine Daten bekommen, solange mein Handy unverschlüsselt (also eingeschaltet) ist?

Vermutlich kann man dein Handy sogar knacken wenn es ausgeschaltet ist
Wir sind im 21. Jahrhundert, alles abseits von richtig harter Chiffrierung à la TrueCrypt ist nur eine Frage von Ressourcen und Know-How. Und die Backdoors in aktuellen Smartphones sind ... groß.

- Wie viele Ziffern müsste ein PIN heutzutage in Android Lollipop haben, um sicher zu sein vor unberechtigten Zugriffen? Lässt sich so ein PIN bei Android 5.1 noch einfach bruteforcen, oder ist sowas nicht mehr möglich?

Ob Android Bruteforce-Methoden unterbindet, weiß ich ehrlich gesagt nicht. Falls nicht, dann richtet sich die Sicherheit nur danach, wie schnell dein Handy auf eingegebene Codes antwortet. Wobei man auch das umgehen könnte indem man einfach den gesamten Speicher auf eine andere, schnellere Maschine klont.
Ich würde mir keine allzu großen Hoffnungen machen. Die Pins/Passwörter sind dafür gedacht, dass nicht jeder der dein Handy in die Hand bekommt es sofort nutzen kann, nicht um ernsthaft deine Daten wegzuschließen.

- Wäre ein Passwort viel sicherer als ein PIN (also theoretisch sämtliche Zeichen vs nur Ziffern). Der PIN ist halt praktischer einzugeben (man muss leider für Screen Unlock und Encryption dasselbe PW / PIN verwenden).

Ja, prinzipiell schon, da es mehr verschiedene Zeichen gibt die man durchprobieren müsste.
Für einen wirklich ambitionierten Versuch auf das Handy zuzugreifen ist das aber trotzdem kein Hindernis.

 

[jbjbjb]

Für die Verschlüsselung sollest du schon ein min. 8 Stelliges Passwort mit Groß-/Kleinscheibung Zahlen und Sonderzeichen nehmen. Eine 4-Stellige Pin ist kein Hindernis, sind ja nur 10000 Möglichkeiten.
Wenn man nun bedenkt, das man mit Programmen wie oclHashcat auf einer HD7970 1-3 Mrd Hashes pro Sekunde durchprobieren kann, kannst du dir ja ausrechnen, wie lang das dauert.

Der PIN muss nicht 4-stellig sein und ich denke eben nicht, dass man einfach unbegrenzt bruteforcen kann bei Lollipop. Ich weiss aber nicht, wie es genau ist, deswegen hier die Frage.

Vermutlich kann man dein Handy sogar knacken wenn es ausgeschaltet ist
Wir sind im 21. Jahrhundert, alles abseits von richtig harter Chiffrierung à la TrueCrypt ist nur eine Frage von Ressourcen und Know-How. Und die Backdoors in aktuellen Smartphones sind ... groß.

Ob Android Bruteforce-Methoden unterbindet, weiß ich ehrlich gesagt nicht. Falls nicht, dann richtet sich die Sicherheit nur danach, wie schnell dein Handy auf eingegebene Codes antwortet. Wobei man auch das umgehen könnte indem man einfach den gesamten Speicher auf eine andere, schnellere Maschine klont.
Ich würde mir keine allzu großen Hoffnungen machen. Die Pins/Passwörter sind dafür gedacht, dass nicht jeder der dein Handy in die Hand bekommt es sofort nutzen kann, nicht um ernsthaft deine Daten wegzuschließen.

Für einen wirklich ambitionierten Versuch auf das Handy zuzugreifen ist das aber trotzdem kein Hindernis.

Mir wäre es neu, dass die Verschlüsselung selber geknackt werden kann mit heutigen Methoden. Habe nie etwas in diese Richtung gehört. Ich wage ehrlich gesagt zu bezweifeln, dass jemand in ein ausgeschaltetes, verschlüsseltes Handy mit Lollipop so einfach reinkommt, wenn das Passwort genügend lang ist. Das ist im Prinzip dasselbe wie eine KeePass-Datenbank, auch das ist ja heutzutage nicht möglich, wenn das Passwort ausreichend gut ist. Mir ist da zumindest nichts bekannt, aber vielleicht weisst du da mehr.

Ob es eine Backdoor gibt, um in diesem Fall etwas zu tun, weiss ich nicht, allerdings ist die Verschlüsselung ja genau dafür gedacht, dass man eben nicht reinkommt, was ja auch immer häufiger den Strafbehörden die Hände bindet. "Kein Hindernis" ist für mich etwas anderes. Ich spreche hier auch nicht von der NSA (welche ebenfalls nicht magisch Verschlüsselungen aufheben kann), sondern von einem nicht ganz dummen Dieb, der keinen Zugriff auf meine Daten bekommen soll.

Soweit ich weiss, kann man bei Lollipop auch nicht mehr einfach PINs durchprobieren am PC, sondern muss diese am Handy selber eingeben, da der PIN nicht das Handy selber unlocked, sondern einen Sicherheitschip im Handy, welcher mit dem richtigen PIN entschlüsselt wird und dann wiederum das Handy entschlüsselt. Ich weiss nicht genau, ob ich das richtig verstanden habe, und was dies bedeutet in Bezug auf meine andere Frage, wegen einer "sicheren" PIN-Länge.

Vielleicht kennt sich hier jemand wirklich aus mit Android und kann mir meine Fragen aus dem ersten Beitrag beantworten?

 

[DKK007]

Kommt auf die Verschlüsselung an. RC4 und DES sind relativ gut zu knacken. Bei AES und Twofish kommt es auf Blockgröße und Key-länge an.

Beim Bruteforce kommt es einfach nur darauf an wie viel Zeit man hat. Alle Verschlüsselungen lassen sich in endlicher Zeit brechen. Dir kann es ja wahrscheinlich aber schon egal sein, wenn dein Handy in 10 Jahren gekackt ist. Zu bedenken ist dabei natürlich, dass die Rechenleistung der Angreifer jedes Jahr zunimmt.