Hva er tastetrykkinferanse og hvordan kan det brukes til å stjele passord?

Selv om det kan høres litt ut som science fiction eller en fantasy-hacker-film, dekket Forbes faktisk nylig en forskningsartikkel som undersøker hvordan hackere kan bruke en metode for å stjele passordene dine ved hjelp av enkle opptak som et Zoom-videosamtaleopptak.

Med den økende populariteten og økningen i bruken av applikasjoner som Zoom og Google Meet for å gjennomføre eksterne arbeidsmøter, har dårlige skuespillere vært hardt på jobb med å prøve å finne nye måter å misbruke disse plattformene på. Selv med alle sikkerhetstiltakene som disse plattformene har implementert, kan den nye metoden for passordtyveri være i stand til å omgå dem alle.

To amerikanske universiteter, Texas og Oklahoma, produserte en forskningsartikkel som fokuserte på hvor dårlige skuespillere kan bruke bevegelsen til en persons overarmer og skuldre i et videomøte for å trekke det de skriver på tastaturet. Metoden kalles "tastetrykk-inferens".

Hvordan fungerer magien?

Det er åpenbart at tastetrykk-inferens ikke er det samme som å ta tak i noens passord ved hjelp av en tastetrykklogger, men det er også mye vanskeligere å distribuere skadelig programvare for tastetrykk på offerets system også. Forskningsoppgaven forklarer at dårlige skuespillere kunne bruke små og tilsynelatende ubetydelige bevegelser i overkroppen til en person for omtrent å gjette hvilke taster de trykker på tastaturet.

Den fulle metodikken er avhengig av å henvise til de visuelle signalene fra personen som skriver på video mot en stor ordbok og utlede hvilke strenger og ord som kan skrives inn, basert på dette. For at denne metoden skal fungere, vil den dårlige skuespilleren selvfølgelig enten måtte delta i videosamtalen eller å ha hacket seg inn i videomøtet for å få tilgang til deltakernes videostrømmer.

Hvordan takler metoden sterke passord?

Algoritmen undersøkt av universitetsteamene viser en urovekkende høy suksessrate - rundt 75% av passordstrenger som ble undersøkt på denne måten ble gjettet riktig, hvis passordstrengen som ble brukt var en del av ordbokshenvisningen på omtrent en million ord.

Selvfølgelig bringer dette oss tilbake til viktigheten av å aldri bruke vanlige ord som passord og komme med komplekse, sammensatte passord som inkluderer bokstaver, tall og symboler i en god blanding og med tilstrekkelig lengde. Algoritmen som ble brukt i forskningen klarte bare å gjette mindre enn 19% av passordene som ble konstruert ved hjelp av god sikkerhetspraksis og inneholdt unike strenger, ikke funnet i en ordbok.

Dette tjener bare til å understreke at et godt, sterkt passord kan gi en god grad av beskyttelse selv mot nylig nye angrepsmetoder.