8:03
5/9/2014

Jak informuje jeden z naszych czytelników, Alvin:

wpisując pass do klienta IRC zauważyłem ze klawiatura podpowiedziała mi moje hasło. Hasło juz zmieniłem i usunąłem ze słownika, ale klawiatura może czasami zapamiętać za dużo. Co prawda przy wprowadzaniu hasła na stronie słownik się wyłącza, ale jeśli wprowadzamy gdzieś hasło tekstem (np. komenda IRC) to klawiatura je zapamięta.

unnamed-11

My od siebie dodamy, że z tej funkcji (słów w słownikach) często korzystają programy do mobile forensic stosowane przez kryminalistyków informatycznych. O ile autorzy aplikacji klawiatur i systemowego API wykluczają “zapamiętywanie” fraz wpisywanych w odpowiednio oznaczone kontrolki i pola (np. input o typie password), to bardzo często zdarza się, że właściciel analizowanego telefonu albo kiedyś przez pomyłkę wpisał z rozpędu hasło nie tam gdzie trzeba, albo zapisał je w jakiejś aplikacji, która nie stosując odpowiednich typów pola tekstowego umożliwiła zapamiętanie tego ciągu znaków przez słownik.

Niech część z Was potraktuje ten wpis jako przypomnienie, że wpisywanie haseł (i innych sekretów) na telefonie może czasem powodować ich ujawnienie (przy założeniu, że komuś uda się złamać passlock — chociaż nie zawsze trzeba go łamać).

Większość mobilnych systemów operacyjnym ma na szczęście opcję czyszczenia pliku słownika/podpowiedzi. Pytanie, czy przypadkiem niewyczyszczony słownik już niektórym nie poleciał w chmurę w formie backupu? :-)

Przeczytaj także:

41 komentarzy

Dodaj komentarz
  1. Powoli trzeba stawać się ekspertem, by korzystać ze zwykłego nowoczesnego telefonu. Przy takim obrocie sprawy, wróżę niedługo nową kulturalną rewolucję powrotu do źródeł – chodzenia boso i porozumiewania się za pomocą Nokii 3310 albo po prostu głosu.
    Co za czasy – trzeba się na wszystkim znać: chcesz kupić dobry samochód, musisz mieć wiedzę mechanika, chcesz się leczyć u lekarza, musisz się uczyć o swojej chorobie, remontujesz mieszkanie, musisz wiedzieć tyle co ekipa remontowa, chcesz korzystać z telefonu, musisz uczyć się informatyki. Absurd jakiś?

    • Przecież masz wybór, albo ufasz sobie albo mechanikowi/lekarzowi/ekipie remontowej/producentowi. Nikt nie broni żebyś wybierał zaufaną osobę i płacił jej więcej niż innym.

    • A moim zdaniem ludzie, którzy nie mają odpowiedniej wiedzy nie powinni robić np. płatności przez Internet. Chcesz korzystać? Ucz się 😁 Nie da się zabezpieczyć ludzi przed nimi samymi i ich głupotą. Można jedynie próbować ich nauczyć nie robić głupot. Zakazanie korzystania dla ludzi nic nie wiedzących w tej dziedzinie byłoby dobre dla ich dobra (najlepsze byłyby darmowe kursy doszkalające dla takich ludzi i egzaminy jeśli będą chcieli z tego korzystać – ale w Polsce to się nie uda).

    • No przecież istnieje taki pomysł jak “internetowe prawo jazdy”, ale kto by się tym przejmował?

    • Problemy są dwa:

      1). “ufasz mechanikowi/lekarzowi/ekipie remontowej/producentowi” – tylko, że często jest tak, że specjaliści też okazują się lamerami i w zasadzie wiedzą tyle ile przeczytają w manualu który Ty sam też możesz przeczytać. Tu dobrym przykładem są mechanicy samochodowi.

      2). Wiele osób nie zauważa, że trend objawiający się urządzeniami na maxa prostymi w obsłudze i z mnóstwem ułatwień oraz podpowiedzi jest jednocześnie trendem, w którym często pomija się bezpieczeństwo – świadomie lub nie. Użytkownicy coraz bardziej są tez przyzwyczajani do tego, że “coś myśli za nich” a potem okazuje się, że wcale tak nie jest.

    • Wróżbitą to Ty raczej słabym jesteś..

    • Tylko zakładasz, że każdy umie czytać ze zrozumieniem instrukcję…
      A to nie takie proste. Jak pracowałem na helpdesku, to 50% problemów wynikało z faktu, że użyszkodnik nie przeczytał co mu program napisał i kliknął OK/TAK/NIE albo anuluj.

    • Dobrze, że w szkole nas nauczyli jakichś praktycznych rzeczy.

  2. A jak się ustawi ręczne, a nie automagiczne, dodawanie nieznanych słów do słownika, to nie wystarczy za ochronę?

  3. artykuł troche tabloidowy, w tym sensie, że zachęca do przeczytania chwytliwym tytułem, a potem tłumaczy że wszystko oki, nie ma sensacji, świat sie nie skończył i wszystko będzie spoko jak użytkownik nie da dupy

  4. To nie do końca prawda. SwiftKey dezaktywuje słownik, jeśli uzupełnia się pole mające typ “password” – wtedy opcja podpowiadania nie jest nawet wyświetlana. Problem dotyczy więc tylko tych wyjątkowo słabo napisanych aplikacji/stron. :)

    • Napisałeś to samo co jest zawarte w tekście, więc nie wiem jaką “nie do końca prawdę” napisali. Przeczytaj lepiej jeszcze raz tekst ze zrozumieniem.

    • @WSZR:

      Nie wiem, kto ma tu rację, ale bierz pod uwagę, że teksty na niebezpieczniku są często aktualizowane/poprawiane w miarę napływających uwag…

    • Treść tego artykułu nie była zmieniana od publikacji. Jedyne co zostało poprawione to tytuł, tak aby bardziej odzwierciedlał stan faktyczny.

    • @Piotr Konieczny:
      I o’kay! :) Zwracam jedynie uwagę na samo zjawisko — najbardziej aktywni komentujący, dostarczający najbardziej znaczących informacji, po zainicjowaniu przeredagowania notki sami mogą wypadać głupkowato ze swoimi komentarzami i prowokować reakcje jak ta powyżej. :)

      Warto, by mieć tego świadomość pisząc szybką krytykę komentującego… :)

  5. Aha, no i można usuwać ze słownika pojedyncze wyrazy. Czyszczenie całego to jak wylanie dziecka z kąpielą.

  6. W Samsungach przy pierwszym użyciu klawoatury pojawiała się informacja o przechwytywaniu danych, w tym było chyba także o hasłach. Niemniej problem dotyczy głównie źle zaprojektowanych witryn i aplikacji, które mają zły typ pola tekstowego. Co do tego przypadku to niech autor się nie dziwi, w końcu wpisywał zwykły ciąg znaków. Dlatego ja nie używam słownika bo mnie tylko denerwował.

  7. Hasła, hasłami, ale gorsza jest prywatność. Rozważcie taką sytuację, włączacie tryb incognito w Chrome i wchodzicie na (nazwijmy to) kontrowersyjną stronę. Wydaje wam się, że historia się nie zapamięta. Prawda. Historia przeglądarki. Ale Swiftkey adres zapamięta. Baj baj prywatności.

  8. Android i tak ostrzega przed zmianą klawiatury, że nowa może przechowywać hasła. http://i.imgur.com/YMvvhrt.png

  9. bash też zapamiętuje komendy i jak ktoś z rozpędu wpisze hasło przy łączeniu się z SSH albo np. sudo su to też bash zapmięta je w historii i nikt nie robi z tego powodu żadnych problemów …

    • Do czasu :)

    • To po co używasz historii?

      Jak zrobisz unset HISTFILE, to Ci w ogóle nie będzie bash zachowywał historii
      Jak ustawisz HISTIGNORE tak, żeby znajdowało ciągi, które potencjalnie mogą być hasłami* (chyba, że używasz słownikowych haseł, albo wprowadzasz w commandlinie dużo dziwnych fraz, które przypominają hasła…) to Ci nie zapisze danych linii**
      *Jak się mylisz przy ssh i sudo to możesz być zainteresowany pominięciem tych 2ch komend w historii
      **HISTIGNORE nie działa przy multi-line input.
      Możesz też wprowadzić [:blank:] przed komendą to też nie zapisze w historii.

    • Trochę naciągane, hasło z reguły wpisuje się po odpowiedzi z serwera, że usługa działa i wymaga hasła. Dla ssh masz do dyspozycji również możliwość dodania lokalnego klucza .pub na serwer do ~/.ssh/authorized_keys

  10. Dodać należałoby, że niektóre appki (Facebook!) pokazują hasło w plaintekście po kilku nieudanych próbach. O ile nie ma używają jakiejś dodatkowej flagi do wyłączenia podpowiedzi, SwiftKey zapamięta hasło.

    Zresztą, gorzej jest, gdy ktoś skusi się na jakąś niepewną klawiaturę “z super fajnymi emotkami” i auto-tłumaczeniem opisu z chińskiego na “polskawy”. Taka to nigdy nie wiadomo, gdzie i co wysyła. Niby jest to ostrzeżenie przy aktywowaniu w ustawieniach, ale kto by tam dialogi czytał… ;)

  11. Ci którym zależy na dyskrecji nigdy ze smartfonów nie korzystali. Rozejrzyj sie. Kazdy pan o wyglądzie bandyty jadący autem za 300 000 ma w łapie telefon za 20 pln

    • A może dlatego bo kochanka dzwoni tylko na ten za 20 pln ?? :)

    • Tak, który ?
      Bo kilku w życiu widziałem i żaden z 3310 nie biegał ale pewnie wiesz lepiej.

  12. Już wielokrotnie zdarzało mi się edytować historie basha właśnie ze względu na wpisanie hasła tam, gdzie nie trzeba. No, ale powiedzmy sobie, że ci, co pracują w bashu przez ssh mają raczej łeb na karku.

    • Z moich obserwacji – niezbyt mają. Znacznie większą korelację widać u użytkowników zsh.

  13. Spokojnie – google ma w pupie standardy i input automcomplete off jest zapamiętywane więc czego oczekiwać od innych produktów.

  14. Czy aby tytuł lekko nie jest przesadzony? Klawiatura zapamiętuje jedynie “hasła” podane jako zwykły tekst gdzieś w sms czy coś – skąd ma niby wiedzieć że to hasło? Rozdmuchany problem, póki nie zacznie zapamiętywać faktycznie wpisywanych haseł …

  15. Jaka panika, sytuacja prawie identyczna jak z przyklejeniem karteczki samoprzylepnej do karty.
    Jak ktos jest idiota i wpisuje haslo w pole tekstowe niezabezpieczone to jest jego wina.

    Jak ktos jest w zatloczonym miejscu i zacznie wyrzkykiwac swoje haslo to bedzie wina tego miejsca, hałasu czy osoby ktora jest idiota?

    • Jaki świat jest prosty prawda ?
      Ty się urodziłeś nieskalany, a wszyscy dookoła to idioci.

  16. Ale siejecie FUD tytułem. Bleh. Zapisuje jeśli wpisuje się je w polu tekstowym, a nie hasłowym. I tyle.

  17. To chyba logiczne… Przecież to zwykłe pole takie, jak te, w którym piszemy SMSa.

  18. MultiLing, IMO najlepsza darmowa klawiatura, zapamiętuje rzeczy tylko jeśli każesz (przytrzymasz pole z tekstem który ma zapamiętać). Także u mnie OK.

  19. W nowych wersjach klawiatury Swype musisz ręcznie dodać słowo do słownika. W starej wersji zapisywało wszystko tak jak ten Swiftkey nadal to robi.

  20. Chyba pierwszy artytuł, który mi się po prostu nie podoba. Nie dość, że wystarczająco oczywiste jest to, że jak wpisuje się hasło w zwykłe pole tekstowe (jak np. w irc), to klawiatura je zapamięta i pewnie nawet przechmuruje. A SwiftKey haseł z pól “hasło” nie zapamiętuje.

  21. Swiftkey zapamiętuje wpisywane hasło jak każde inne wpisywane słowo.

  22. SwiftKey jest nastepnym przykladem przemycenia ingiwilacji poprzez apk….jezeli ktos w to nie wierzy to kiep.Danie -dobrowolne- kontaktu klawiaturze /ze wspomaganiem online/z ”chmura”,to bezddenna glupota na jaka licza twórcy/zapewnie wspomagani odpowiednimi Sluzbami/
    Ja osobiscie sie nie ludze.P:o zamontowaniu apki,sprawdzilem jej ”wladze”poczym zaraz ten shit udal sie do smieci…
    Kto ma ciutke wyobrazni,wie,jakie niebezpieczenstwa czychaja za zakretem tego tak usilnie reklamowanego ”cuda.Apka sama w sobie jest ok.ale niesie za soba katastrofe.
    Po co lamac zapory…jak mozna oficjalnie wejsc klawiatura sciagnieta na wlasne zyczenie.Zycze milego wpisywania,hasel, kodów,pinów i intymnych wiadomosci oraz innych osobistych tematów.Terrorysci tego na pewno nie uzyja .Maja zbyt duzo zdrowego rozsadku w przeciwienstwie do zachwyconych nowosciami ignorantów

  23. Znajome -kontra teksty:”jak ktos ma cos do ukrycia…”mnie brzydza.
    W dzisiejszych czasach nie musisz byc”Szakalem”azeby byc filtrowanym,dla zasady i globalnego porzadku.Typu: Mniemamy,iz osoba moze byc, za lat kilka naszym opozycjonista/ka.
    do tego sama swiadomosc,iz byc moze ktos wie o mnie wiecej,niz moja zona napawa mnie niepokojem.Mam prawo.Oczywiscie w obecnym swiecie to czeste,ale brzydzi mnie.
    Wiec dawno zamienilem suuuper fon na Nokie 100,.Niestety z musu nosze z soba tablet/choc bez funkcji fona/jednakze to prawie to samo.
    Bycie zaatakowanym…to jedno,lecz danie komus oficjalnej furtki…to moim zdaniem brak wyobrazni na styku z glupota.
    ps.niestety,juz dawno przestalem wierzyc w dobre intencje ofiarodawców informatycznych ”cudów”

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: