Was ist Tastendruckinferenz und wie kann sie zum Stehlen von Passwörtern verwendet werden?
Während es ein bisschen wie Science-Fiction oder ein Fantasy-Hacker-Film klingt, hat Forbes kürzlich ein Forschungspapier behandelt, in dem untersucht wird, wie Hacker eine Methode verwenden können, um Ihre Passwörter mit einfachem Filmmaterial wie einer Zoom-Videoanrufaufzeichnung zu stehlen.
Angesichts der zunehmenden Beliebtheit und des zunehmenden Einsatzes von Anwendungen wie Zoom und Google Meet zur Durchführung von Remote-Arbeitstreffen haben schlechte Schauspieler hart daran gearbeitet, neue Wege zu finden, um diese Plattformen zu missbrauchen. Trotz aller Sicherheitsmaßnahmen, die diese Plattformen implementiert haben, kann die neue Methode des Kennwortdiebstahls möglicherweise alle umgehen.
Zwei US-amerikanische Universitäten in Texas und Oklahoma haben ein Forschungspapier erstellt, in dem es darum geht, wie schlechte Schauspieler die Bewegung der Oberarme und Schultern einer Person in einem Video-Meeting nutzen können, um herauszufinden, was sie auf ihrer Tastatur tippen. Die Methode heißt "Keystroke Inference".
Wie funktioniert die Magie?
Offensichtlich ist die Inferenz von Tastenanschlägen nicht dasselbe wie das direkte Abrufen des Kennworts einer Person mit einem Tastenanschlag-Logger, aber es ist auch viel schwieriger, eine Malware zur Protokollierung von Tastenanschlägen auf dem System des Opfers bereitzustellen. Das Forschungspapier erklärt, dass schlechte Schauspieler kleine und scheinbar unbedeutende Bewegungen des Oberkörpers einer Person verwenden könnten, um grob zu erraten, welche Tasten sie auf ihrer Tastatur drücken.
Die vollständige Methodik basiert darauf, die visuellen Hinweise der Person, die auf Video tippt, mit einem umfangreichen Wörterbuch zu vergleichen und daraus zu schließen, welche Zeichenfolgen und Wörter eingegeben werden könnten. Damit diese Methode funktioniert, muss der schlechte Schauspieler entweder am Videoanruf teilnehmen oder sich in das Videotreffen gehackt haben, um Zugriff auf die Videostreams der Teilnehmer zu erhalten.
Wie geht die Methode mit starken Passwörtern um?
Der von den Hochschulteams untersuchte Algorithmus weist eine störend hohe Erfolgsrate auf - rund 75% der auf diese Weise untersuchten Passwortzeichenfolgen wurden korrekt erraten, wenn die verwendete Passwortzeichenfolge Teil der Wörterbuchreferenz von etwa einer Million Wörtern war.
Dies bringt uns natürlich zurück zu der Wichtigkeit, niemals gebräuchliche Wörter als Passwörter zu verwenden und komplexe, zusammengesetzte Passwörter zu entwickeln , die Buchstaben, Zahlen und Symbole in einer guten Mischung und mit ausreichender Länge enthalten. Der in der Untersuchung verwendete Algorithmus konnte nur weniger als 19% der Kennwörter erraten, die unter Verwendung bewährter Sicherheitspraktiken erstellt wurden und eindeutige Zeichenfolgen enthielten, die in einem Wörterbuch nicht enthalten waren.
Dies unterstreicht nur, dass ein gutes, sicheres Passwort auch vor neu aufkommenden Angriffsmethoden einen guten Schutz bieten kann.
