Foto: Getty
Wissenschaftler haben entdeckt, eine neue Art, die Menschen zu erfassen Kennwörter, obwohl die Umstände für einen Angriff nötig zu arbeiten, nehmen Sie die Chancen, dass es jemals im echten Leben irgendwo zwischen “astronomischen” und “zero verdammte chance.”
Forscher an der University of California, Irvine, in dieser Woche offenbart der Angriff eine Methode, die für die Erfassung von Benutzer-Passwörter, indem Sie Weg von der Wärmebildtechnik. Die Wissenschaft hinter dem Angriff, bekannt als Thermanator, mag selbstverständlich erscheinen, einmal verstanden, aber trotzdem, das nachsinnen über die Arten von Szenarien, in denen es möglicherweise abgerissen werden, ist immer noch eine ziemlich unterhaltsame übung.
Der Kern der Thermanator ist ziemlich einfach: Eine person, die Arten, Ihr Kennwort und danach ein Bild von der Tastatur gefangen mit Wärmebild-und Infrarot-Kamera. Die Intensität der Hitze auf den Tasten, Registern unterschiedlich, basierend auf der Reihenfolge, in der Sie gedrückt wurden. Der Angriff ist eher schwierig zu ziehen aus, aber da Bedarf es nicht nur unbemerkt während des Fotografierens die Tastatur—innerhalb von 45 Sekunden, bei optimalen Bedingungen—aber auch überzeugend ist die person sofort zu stoppen, berühren Sie die Tastatur, nachdem das Kennwort eingegeben wird
Ehrlich gesagt, es gibt so viele einfachere Wege, um zu stehlen ein Passwort. Das heißt, es gibt ein paar Eigenschaften der thermischen Strahlung zu machen, dass dieser Angriff auch Spaß machen und interessant zu betrachten, auch wenn es ein bisschen unrealistisch.
Das erste, was zu wissen ist, dass die Menge von Hitze übertragen zwischen einem menschlichen finger und einer Taste auf einer Tastatur verlässt sich ganz auf die Menge an Druck angewendet. Mit dem richtigen Gerät—eine Thermografie-Kamera, die speziell—man kann leicht unterscheiden zwischen den Tasten, die gedrückt oder nicht gedrückt ist, oder eine, die Reine hatte einen finger auf Ihr ruhen, fanden die Forscher.
Es gibt natürlich Tastaturen von heute, die brauchen sehr wenig Fingerdruck. Eine mit Cherry MX Black-switches, zum Beispiel, erfordert nur 60 centinewtons (cN) zu betätigen (etwa 0.13 lbs). Vorausgesetzt, Sie nutzen diese, die Menge von Hitze durchgeführt, reduziert werden würde, im Vergleich zu deinem run-of-the-mill Logitech Tastatur zog ein Regal bei Walmart. Keine dieser Fragen, natürlich, wenn der Angreifer kann snap ein Foto von der Tastatur in den ersten paar Sekunden.
Es scheint offensichtlich, aber die Wärme übertragen, um ein Objekt kühlt über einen Zeitraum von Zeit, abhängig von der Menge der Wärme durchgeführt, und der Umgebungstemperatur des Objekts auf die Umwelt. Wie bereits erwähnt, die Menge von Hitze übertragen als relevant für die Thermanator Angriff ist im Verhältnis zu der Menge von Druck auf die Tastatur. Aber die kühlende Wirkung ist, was absolut entscheidend für Thermanator. Wärme-Verlust ist fast sofort beobachten. Dies bedeutet, dass, wenn 10 Tasten gedrückt werden, in der schnellen Reihenfolge, die Reihenfolge, in der Sie gepresst wurden, ist nachweisbar für eine kurze Zeit.
Wie lange genau dauert es, einen Schlüssel, um sich abzukühlen? Länger, als Sie vielleicht denken. Aber, um genau zu erfassen, ein Passwort, gibt es eine Reihe weiterer Variablen zu berücksichtigen, einschließlich, wie gut die schreibkraft Arten und die Komplexität des Passwortes selbst.
Nach Angaben der Forscher, das Kennwort “12341234” ist erstattungsfähig bis zu 45 Sekunden nach eingegeben, die durch eine “Jagd und picken” Schreibkräfte. Das heißt, dass ein Mensch, der nicht ruhen Ihre Finger auf der home-Reihe Tasten. Touch-Schreibkräfte, diejenigen, deren Finger ruhen auf der Grundreihe, sind weniger anfällig für den Angriff, weil Sie ständig die übertragung der Wärme auf die zufälligen Schlüssel, wie Sie geben.
Deshalb, während einer beschissenen schreibkraft mit eine beschissene Passwort bleibt anfällig für eine relativ lange Zeit, ein Komplexes Passwort eingegeben durch eine touch-schreibkraft (zum Beispiel: “jxM#1CT”) können nur wiederhergestellt werden, die innerhalb von etwa 14 bis 19 Sekunden. Das ist ein kurzes Zeitfenster, um ein Bild von der Tastatur unbemerkt ablenken, während die person, um Ihre Hände Weg von Sie die Tastatur.
Natürlich, die Umstände, in denen ein Angriff in diesem anspruchsvollen höchstwahrscheinlich verwendet werden, würde eine Sicherheit-bewusste Person, deren Passwort kann nicht abgerufen werden, durch einfachere Mittel, wie beispielsweise über eine phishing-Attacke oder durch die Verwendung eines keylogger-Programms. Wenn das Ziel ist nicht dumm genug, um fallen für die leichter-Angriffsmethode, die Wahrscheinlichkeit, dass Ihnen ein Komplexes Kennwort zu verwenden scheint höher.
Was mehr ist, wenn Thermanator nicht eine insider-Bedrohung—d.h., durchgeführt von einem Kollegen oder jemand, dessen Gegenwart nicht aufzufallen—es ist immer die Frage der Infiltration der Umgebung und nicht die die auffällige Verzicht auf eine FLIR thermal-imaging-Kamera um.
Es gibt mehrere Optionen zur Risikominimierung für alle unobservant genug, um nicht zu bemerken, eine person, die direkt über Ihre Schulter mit einer Wärmebildkamera. Zum Beispiel eines der Themen, die nahm Teil an der Thermanator Forschung trug Acryl-Nägel und hinterlassen keine messbare Menge an thermischen Rückständen. Wenn die Nägel sind nicht wirklich Ihr Ding, gibt es eine viel einfachere Methode: Nach der Eingabe des Kennworts und drücken Sie die EINGABETASTE, führen Sie einfach Ihre hand auf alle Tasten so belegen wie du bist, Jerry Lee Lewis, verlassen thermischen Rückstände überall.
Für 99,999 Prozent der Nutzer, die einzige Zeit, die Sie wahrscheinlich sehen, ein Thermanator Angriff ist, während gerade Mission Impossible. Aber das kann auch der Grund sein, warum es cool wie die Hölle.