谷歌钱包的PIN安全性已被破解,但有一点需要注意 - 如果你的手机扎根,这只是一个问题。 没扎根? 别担心。 有了这样说和完成,这是交易:
您的Google电子钱包PIN(个人识别码)以加密方式存储在您的设备上,并且发现了一种暴力方法,可以在数据库中公开SHA256十六进制编码的PIN信息。 这种不负责任地向公众发布的方法可以在钱包应用程序本身没有任何错误尝试的情况下找到PIN,从而否定了应用程序对PIN输入的五次尝试规则。 (休息后看它在行动。)
现在,这是描述一切的不那么性感的方式。 您需要拥有一部带有Google电子钱包的手机, 并且已根植了您的设备,并且未设置安全锁定屏幕,然后丢失手机。 找到它的人然后可以使用 zvleo 的研究员制作的应用程序,并且因为分发给暴力PIN码然后可以使用你的手机进行支付,就像他们找到你的信用卡一样,这可能是比任何一个更快更容易。
Google已收到通知并已知道如何解决此问题,但存在问题。 为了使其更安全,Google必须移动PIN信息,以便由您的银行进行控制和维护。 这不仅需要对服务条款进行一些更改,而且我们依靠公司银行机构来保证我们的信息安全。 我敢打赌花旗集团的服务器比谷歌更容易打破,然后你再次遇到同样的问题。
解决问题的更好方法是强制用户使用更好的密码。 PIN信息可以很容易破解,因为它只使用四个数字。 这意味着只有10, 000种可能的组合,甚至像Android手机这样的便携式计算机也可以实现这种暴力攻击。 将密码更改为类似Fgtr5400和d77的东西 - 使用字母,数字和符号的组合 - 并且它不太可能被破坏,甚至不太可能被使用,因为它不方便。 这是一个Catch-22 - 一个PIN易于使用和记忆,但它也更容易破解。
我不打算告诉你停止使用谷歌钱包,我也不会告诉你停止使用手机。 我要告诉你把它捡起来,然后在锁定屏幕上输入密码,然后丢失它。
资料来源:zvelo
Youtube链接可供移动查看
