知識星球來來來,大家來get一下竊取密碼的新姿勢!近期,美國加州大學歐文/爾灣分校(UCI)的三位安全研究專家發現,他人可利用熱感攝像機來測量使用者手指在鍵盤上留下的餘熱,並根據熱量資訊來推算出使用者在鍵盤上輸入的文字資訊,然後以此來竊取使用者密碼。
當使用者在普通鍵盤上輸入了密碼之後,攻擊者可利用中頻熱感攝像機來收集鍵盤上被按過鍵帽的溫度資料。需要註意的是,這種方法在使用者按下鍵盤後的一分鐘之內才可行,因此這也就意味著,如果使用者輸入了密碼之後就AFK(離開鍵盤)的話,密碼很可能就會立刻被攻擊者盜走。
Thermanator攻擊可以恢復密碼
UCI團隊將這種攻擊技術命名為Thermanator攻擊,並聲稱這種攻擊技術可以恢復長度較短的文字字串,而這種字串可以是簡訊驗證碼、銀行卡PIN碼或其他賬號密碼等等。
攻擊者需要在距離標的裝置一定範圍內安裝帶有錄影功能的熱感攝像機,並且要求攝像機能夠拍攝高畫質檢視,這樣才能確保記錄下的鍵盤按鍵資訊足夠準確,這也是Thermanator攻擊的基本要求。
當所有條件都滿足時,攻擊者(甚至是非安全專家)將能夠恢復出標的使用者輸入的鍵盤記錄集合,隨後他們將可利用這些鍵盤記錄來組合成可用於暴力破解攻擊的字典檔案。
密碼可在30秒內恢覆成功
在研究人員的測試過程中,他們讓31名使用者在四款不同的鍵盤上進行了密碼輸入操作,並讓8名普通技術人員根據熱感攝像機記錄下的資料來嘗試恢復密碼。
測試結果表明,當使用者輸入密碼之後的30秒之內,熱感攝像機所記錄下來的資料足以讓非安全專家的攻擊者恢復出標的使用者所按下鍵盤按鍵的整個金鑰集。
研究人員表示,根據他們的研究結果,只要熱感攝像機記錄下來的鍵盤熱量資料是使用者按下鍵盤之後的30秒之內的資料,他們就可以恢復出整個金鑰集,但如果記錄下的是1分鐘之內的資料,他們就只能恢復出部分金鑰集了。
需要註意的是,這種攻擊技術對於那些對電腦或者鍵盤輸入不熟悉的使用者更加有效,因為他們每輸入一個字元都需要低頭看一眼鍵盤。
密碼是時候該“消失”了
UCI的研究人員表示,經過了這麼多年,安全社群已經研究出了針對文字密碼的多種恢復方式了,例如透過機械振動和電磁頻率等等。因此,我們現在是時候放棄使用密碼來保護使用者的資料或者裝置了。
隨著各類高科技裝置的不斷降價,很多在之前“不現實”的攻擊方式現在也成為了可能,考慮到這一點,傳統密碼已經無法保護我們的安全了,新型密碼的需求迫在眉睫。
*參考來源:bleepingcomputer,FB小編Alpha_h4ck編譯,來自FreeBuf.COM
更多資訊
◈ Cloudflare、Mozilla、Fastly 和蘋果開發加密伺服器名稱指示
http://t.cn/RgI6q6j
◈ 資料堂涉倒賣公民資訊案:曾0.2元/條買病例
http://t.cn/RgI65NL
◈ 遭駭客攻擊隱憂尚存 日本約6成地方政府網站安全加密措施落後
http://t.cn/RgI6tmm
◈ 廣州一運營員獲取、販賣淘寶店鋪個人資訊超2萬條獲刑3年
http://t.cn/RgI6Iq3
(資訊來源於網路,安華金和蒐集整理)
