Co to jest wnioskowanie o naciśnięciach klawiszy i jak można je wykorzystać do kradzieży haseł?
Chociaż może to brzmieć trochę jak science fiction lub film fantasy o hackerach, Forbes niedawno omówił artykuł badawczy, który bada, w jaki sposób hakerzy mogą wykorzystać metodę kradzieży haseł za pomocą prostego materiału filmowego, takiego jak nagranie rozmowy wideo Zoom.
Wraz z rosnącą popularnością i wzrostem wykorzystania aplikacji takich jak Zoom i Google Meet do prowadzenia zdalnych spotkań roboczych, źli aktorzy ciężko pracują, próbując znaleźć nowe sposoby nadużywania tych platform. Nawet przy wszystkich środkach bezpieczeństwa wdrożonych przez te platformy nowa metoda kradzieży haseł może obejść je wszystkie.
Dwa amerykańskie uniwersytety, w Teksasie i Oklahomie, opublikowały artykuł badawczy, w którym skupiono się na tym, jak źli aktorzy mogą wykorzystywać ruchy ramion i ramion osoby podczas spotkania wideo do odliczenia tego, co piszą na klawiaturze. Metoda ta nosi nazwę „wnioskowania po naciśnięciu klawisza”.
Jak działa magia?
Oczywiście wnioskowanie o naciśnięciach klawiszy to nie to samo, co bezpośrednie przechwytywanie czyjegoś hasła za pomocą rejestratora naciśnięć klawiszy, ale znacznie trudniej jest również wdrożyć złośliwe oprogramowanie rejestrujące naciśnięcia klawisza w systemie ofiary. Artykuł badawczy wyjaśnia, że źli aktorzy mogą używać małych i pozornie nieistotnych ruchów górnej części ciała osoby, aby zgadnąć, jakie klawisze naciskają na klawiaturze.
Pełna metodologia polega na odwoływaniu się do wizualnych wskazówek od osoby piszącej na wideo z obszernym słownikiem i wnioskowaniu na tej podstawie, jakie ciągi i słowa mogą być wpisane. Oczywiście, aby ta metoda zadziałała, zły aktor będzie musiał albo uczestniczyć w rozmowie wideo, albo włamać się na spotkanie wideo, aby uzyskać dostęp do strumieni wideo uczestników.
Jak metoda radzi sobie z silnymi hasłami?
Algorytm zbadany przez zespoły uniwersyteckie wykazuje niepokojąco wysoki wskaźnik sukcesu - około 75% zbadanych w ten sposób ciągów haseł zostało odgadniętych poprawnie, jeśli użyty ciąg hasła był częścią referencji słownikowej około miliona słów.
Oczywiście przywraca nam to wagę, aby nigdy nie używać zwykłych słów jako haseł i wymyślać skomplikowanych, złożonych haseł, które zawierają litery, cyfry i symbole w dobrym połączeniu i wystarczającej długości. Algorytm użyty w badaniu był w stanie odgadnąć jedynie mniej niż 19% haseł, które zostały skonstruowane przy użyciu dobrych praktyk bezpieczeństwa i zawierały unikalne ciągi znaków, których nie można znaleźć w słowniku.
Służy to jedynie podkreśleniu, że dobre, silne hasło może zapewnić dobry stopień ochrony nawet przed nowo pojawiającymi się metodami ataku.