Che cos'è l'inferenza della sequenza di tasti e come può essere utilizzata per rubare le password?

Anche se può sembrare un po 'di fantascienza o di un film fantasy di hacker, Forbes in realtà ha recentemente coperto un documento di ricerca che esamina come gli hacker possono utilizzare un metodo per rubare le tue password usando semplici filmati come una registrazione di videochiamata Zoom.

Con la crescente popolarità e l'aumento dell'uso di applicazioni come Zoom e Google Meet per condurre riunioni di lavoro a distanza, i cattivi attori hanno lavorato duramente cercando di trovare nuovi modi per abusare di quelle piattaforme. Anche con tutte le misure di sicurezza che queste piattaforme hanno implementato, il nuovo metodo di furto di password potrebbe essere in grado di aggirarle tutte.

Due università statunitensi, del Texas e dell'Oklahoma, hanno prodotto un documento di ricerca incentrato su come i cattivi attori possono utilizzare il movimento della parte superiore delle braccia e delle spalle di una persona in una chiamata video per dedurre ciò che stanno digitando sulla tastiera. Il metodo è chiamato "inferenza di battitura".

Come funziona la magia?

Ovviamente, l'inferenza della sequenza di tasti non è la stessa di acquisire direttamente la password di qualcuno utilizzando un registratore di sequenze di tasti, ma è anche molto più difficile distribuire un malware di registrazione delle sequenze di tasti sul sistema della vittima. Il documento di ricerca spiega che i cattivi attori potrebbero usare piccoli e apparentemente insignificanti movimenti della parte superiore del corpo di una persona per indovinare approssimativamente quali tasti stanno premendo sulla tastiera.

La metodologia completa si basa sul fare riferimento ai segnali visivi della persona che digita sul video rispetto a un vasto dizionario e inferire quali stringhe e parole potrebbero essere digitate, in base a questo. Ovviamente, affinché questo metodo funzioni, il cattivo attore dovrà partecipare alla videochiamata o essere entrato nella riunione video per ottenere l'accesso ai flussi video dei partecipanti.

Come fa il metodo a gestire password complesse?

L'algoritmo esaminato dai team universitari mostra un tasso di successo incredibilmente alto: circa il 75% delle stringhe di password esaminate in questo modo sono state indovinate correttamente, se la stringa di password utilizzata faceva parte del riferimento del dizionario di circa un milione di parole.

Naturalmente, questo ci riporta all'importanza di non usare mai parole comuni come password e di inventare password complesse e composte che includano lettere, numeri e simboli in una buona combinazione e con una lunghezza sufficiente. L'algoritmo utilizzato nella ricerca è stato in grado di indovinare solo meno del 19% delle password costruite utilizzando buone pratiche di sicurezza e contenevano stringhe uniche, non trovate in un dizionario.

Questo serve solo a sottolineare che una password valida e sicura può fornire un buon grado di protezione anche contro i nuovi metodi di attacco emergenti.

November 16, 2020

Lascia un Commento