Kas yra klaviatūros išvada ir kaip ją pavogti slaptažodžius?

Nors tai gali atrodyti šiek tiek kaip mokslinė fantastika ar fantastinis įsilaužėlių filmas, „Forbes“ iš tikrųjų neseniai pateikė tyrimą, kuriame nagrinėjama, kaip įsilaužėliai gali naudoti būdą, kaip pavogti jūsų slaptažodžius, naudodami paprastą filmuotą medžiagą, pvz., Vaizdo skambučio „Zoom“ įrašą.

Vis labiau populiarėjant ir sparčiai naudojant tokias programas kaip „Zoom“ ir „Google Meet“ nuotolinio darbo susitikimams organizuoti, blogi veikėjai stengėsi sugalvoti naujų būdų piktnaudžiauti šiomis platformomis. Net taikant visas saugumo priemones, kurias įdiegė šios platformos, naujas slaptažodžių vagystės metodas gali apeiti juos visus.

Du JAV universitetai, Teksasas ir Oklahoma, parengė mokslinį straipsnį, kuriame daugiausia dėmesio buvo skiriama tam, kaip blogi aktoriai gali naudoti žmogaus viršutinių rankų ir pečių judesį vaizdo susitikimo skambučio metu, norėdami išskaičiuoti, ką jie rašo klaviatūroje. Metodas vadinamas „klaviatūros išvada“.

Kaip veikia magija?

Akivaizdu, kad klaviatūros išvada nėra tas pats, kas tiesiogiai paimti kažkieno slaptažodį naudojant klavišų registravimo žurnalą, tačiau taip pat daug sunkiau įdiegti klaviatūros registravimo kenkėjišką programą aukos sistemoje. Tyrimo darbe paaiškinama, kad blogi aktoriai galėtų naudoti mažus ir, atrodytų, nereikšmingus viršutinės žmogaus kūno judesius, kad apytiksliai atspėtų, kokius klavišus jie spaudžia savo klaviatūroje.

Visa metodologija remiasi vaizdo įrašą spausdinančio asmens vaizdinių ženklų palyginimu su didžiuliu žodynu ir tuo remiantis daroma išvada, kokios eilutės ir žodžiai gali būti įvesti. Žinoma, kad šis metodas veiktų, blogas aktorius turės arba dalyvauti vaizdo skambutyje, arba įsilaužti į vaizdo susitikimą, kad galėtų patekti į dalyvių vaizdo srautus.

Kaip metodas susidoroja su sudėtingais slaptažodžiais?

Universiteto komandų nagrinėtas algoritmas rodo nerimą keliantį aukštą sėkmės rodiklį - apie 75% tokiu būdu ištirtų slaptažodžių eilučių buvo atspėta teisingai, jei naudojama slaptažodžio eilutė buvo maždaug milijono žodžių žodyno nuorodos dalis.

Žinoma, tai sugrąžina į tai, kaip svarbu niekada nenaudoti bendrinių žodžių kaip slaptažodžių ir sugalvoti sudėtingus, sudėtinius slaptažodžius , kuriuose raidės, skaičiai ir simboliai yra gerai derinami ir pakankamai ilgi. Tyrime naudojamas algoritmas sugebėjo atspėti tik mažiau nei 19% slaptažodžių, kurie buvo sukurti naudojant gerą saugumo praktiką ir kuriuose buvo unikalių eilučių, kurių nerasta žodyne.

Tai tik pabrėžia, kad geras, tvirtas slaptažodis gali suteikti gerą apsaugą net ir nuo naujai atsirandančių atakos metodų.

November 16, 2020

Palikti atsakymą