Hőképek segítségével feltörhetők a jelszavak

Nem mindegy ugyanakkor, hogy ki hogyan gépel és milyen billentyűzetet használ.

Számítógépes biztonsági szakértők olyan mesterséges intelligencia alapú rendszert hoztak létre, amely hőképek segítségével nagyon rövid idő alatt képes feltörni a jelszavakat. A ThermoSecure nevű fejlesztés még a hosszú kódokkal is megbirkózik.

A felhasználók mindig és mindenhol billentyűzeteket használnak arra, hogy megadják a jelszavakat és PIN-kódokat - akár nyilvánosan is. Mivel a hőkamerák egyre olcsóbbak, ezért ez a gyakorlat veszélyezteti az adatok és a számlák biztonságát. Ennek oka, hogy az ujjak olyan nyomokat hagynak a billentyűkön, amelyek egy hőkamerával láthatóvá válhatnak. A hőmaradványok alapján még 60 másodperccel a használat után is meg lehet állapítani, hogy melyik billentyűt nyomta le valaki. Sőt, a hőmérséklet-különbségeket jelző különböző vörös árnyalatok a billentyűk beviteli sorrendjéről is információt adhatnak.

A Glasgow-i Egyetemen a Dr. Mohamed Khamis által vezetett kutatócsoport megállapította, hogy az ilyen hőképekből még laikusok is ki tudják találni a banki PIN-kódokat és jelszavakat. A szakemberek kifejlesztettek egy olyan szoftvert, amely mesterséges intelligenciát használ a kereskedelmi forgalomban kapható QWERTY-billentyűzetek hőképeinek kiértékelésére. Khamis szerint a megalkotott program a jelszavak 86 százalékát képes felismerni, ha a vizsgált képeket 20 másodperccel a billentyűk lenyomása után készítették. Még a 16 számjegyű jelszavak is feltörhetők az esetek 67 százalékában, a hat számjegyű jelszavak pedig 100 százalékban.

Minél kevésbé fényes egy terület a hőképen, annál régebben érintette meg azt valaki az ujjával. A melegebb területek relatív intenzitásának mérésével meg lehet határozni a jelszót alkotó konkrét betűket, számokat vagy szimbólumokat, és meg lehet becsülni, hogy milyen sorrendben használták őket. Innen kiindulva a támadók különböző kombinációkat próbálhatnak ki a felhasználók jelszavainak feltörésére. A skót kutatócsoport arra szeretné felhasználni az eredményeit, hogy megakadályozza, hogy a probléma komoly biztonsági réssé váljon.

"Szeretnénk felhívni a politikai döntéshozók figyelmét arra, hogy ezek a támadások milyen veszélyt jelentenek a kiberbiztonságra. A kockázat csökkentésének egyik elképzelhető módja például az lenne, ha a szoftverben szereplő fokozott biztonsági előírások nélkül illegálissá tennék a hőkamerák értékesítését. Egy mesterséges intelligencia alapú ellenprogramot is fejlesztünk, amely segíthet megoldani a problémát" - nyilatkozta Khamis. Ezzel párhuzamosan az is fontos lehet, hogy a hőnyomok a különböző anyagokon másképp jelennek meg. A tudósok ezt a kérdést is tanulmányozni akarják.

A kutatók egyébként számos változót vizsgáltak, amelyek megkönnyítették a ThermoSecure számára a jelszavak kitalálását. Az egyik a billentyűzetet használók gépelési stílusa volt. A lassan gépelő "vadászó" billentyűzethasználók hajlamosak hosszabb ideig a billentyűkön hagyni az ujjaikat, így a hőnyomok is tovább maradnak meg, mint a gyorsabb érintéses gépelésűeknél. A billentyűzet megérintésétől számított 30 másodpercen belül készített képek alapján a ThermoSecure az esetek 92 százalékában sikeresen kitalálta a "vadászó és tapogatózó" gépelők jelszavait, míg az érintéssel gépelők esetében ez az arány csak 80 százalék volt.

Továbbá a billentyűzetek anyagának típusa szintén befolyásolhatja a hőelnyelő képességüket, ami kihat a hőtámadások hatékonyságára. A ThermoSecure az ABS műanyagból készült billentyűzetek hőmegtartásából az esetek körülbelül felében tudta sikeresen kitalálni a jelszavakat, de a PBT műanyagból készült billentyűk esetében csak 14 százalék volt ez az arány.