Система ThermoSecure способна мгновенно угадывать пароль по тепловому отпечатку кончиков пальцев на клавиатуре компьютера или банкомата, а также на сенсорном экране гаджета.
Что случилось?
«Термические атаки» — известный и довольно простой метод кражи данных. Чтобы узнать пароль злоумышленнику достаточно просто сделать снимок клавиатуры или экрана с помощью тепловизионной камеры. Измерив интенсивность тепловых областей — чем ярче «пятно», тем меньше времени прошло с момента прикосновения — даже неопытный мошенник может определить конкретную комбинацию.
Исследователи из Университета Глазго решили сделать эту технологию еще более быстрой и точной. Для этого они сделали 1500 тепловизионных снимков классических QWERTY-клавиатур под разными углами, а затем обучили искусственный интеллект делать предположения о паролях на основании тепловых сигнатур.
В результате ThermoSecure оказалась способна:
- раскрыть 86% комбинаций, если снимок был сделан в течение 20 секунд;
- взломать 100% шестисимвольных паролей и 93% — восьмисимвольных;
- определить 67% комбинаций из 16 символов, если снимки были сделаны спустя 20 секунд после нажатия.
Оказалось, что на эффективность «термических атак» влияет материал, из которого сделана клавиатура. ThermoSecure успешно угадывала пароли на клавишах из АБС-пластика в половине случаев, и только в 14% ситуациях на ПБТ-устройствах.
Что дальше?
Своим проектом исследователи решили привлечь внимание общества к опасности таких «термических атак». По заявлению ученых, тепловизионное оборудование и технологии машинного обучения становятся все доступнее, а значит разработчики и политики должны быть на один шаг впереди злоумышленников.
В дальнейшем научный коллектив будет работать над созданием системы противодействия «термическим атакам», а пока исследователи предложили пользователям несколько простых советов для защиты своих паролей.
- ThermoSecure было труднее определить длинные пароли, поскольку для их ввода требуется больше времени. Поэтому ученые советуют использовать как можно больше символов в своих комбинациях.
- Затруднить работу тепловизора можно с помощью клавиатуры с подсветкой. Она выделяет больше тепла, что затрудняет получение точных сигнатур.
- Полностью избежать риска «термической атаки» помогут альтернативные методы аутентификации, например, отпечатки пальца или распознавания лица.