O que é inferência de pressionamento de tecla e como pode ser usada para roubar senhas?

Embora possa soar um pouco como ficção científica ou um filme de hacker de fantasia, a Forbes recentemente cobriu um artigo de pesquisa que examina como os hackers podem usar um método para roubar suas senhas usando imagens simples como uma gravação de videochamada Zoom.

Com a popularidade crescente e o aumento no uso de aplicativos como o Zoom e o Google Meet para realizar reuniões de trabalho remotas, os malfeitores têm trabalhado arduamente tentando encontrar novas maneiras de abusar dessas plataformas. Mesmo com todas as medidas de segurança que essas plataformas implementaram, o novo método de roubo de senha pode ser capaz de contornar todas elas.

Duas universidades americanas, do Texas e de Oklahoma, produziram um artigo de pesquisa com foco em como os malfeitores podem usar o movimento dos braços e ombros de uma pessoa em uma videochamada para deduzir o que estão digitando em seu teclado. O método é denominado "inferência de pressionamento de tecla".

Como funciona a magia?

Obviamente, a inferência de pressionamento de tecla não é o mesmo que pegar diretamente a senha de alguém usando um registrador de pressionamento de tecla, mas também é muito mais difícil implantar um malware de registro de pressionamento de tecla no sistema da vítima. O documento de pesquisa explica que os agentes mal-intencionados podem usar movimentos pequenos e aparentemente insignificantes da parte superior do corpo de uma pessoa para adivinhar quais teclas estão pressionando no teclado.

A metodologia completa se baseia em fazer referência às dicas visuais da pessoa digitando no vídeo em um vasto dicionário e inferir quais strings e palavras podem ser digitadas com base nisso. Obviamente, para que esse método funcione, o mau ator precisará participar da chamada de vídeo ou ter invadido a reunião de vídeo para obter acesso aos streams de vídeo dos participantes.

Como o método lida com senhas fortes?

O algoritmo examinado pelas equipes da universidade exibe uma taxa de sucesso perturbadoramente alta - cerca de 75% das strings de senha examinadas dessa forma foram adivinhadas corretamente, se a string de senha usada fizesse parte da referência do dicionário de cerca de um milhão de palavras.

Claro, isso nos traz de volta à importância de nunca usar palavras comuns como senhas e chegar a senhas complexas e compostas que incluem letras, números e símbolos em uma boa combinação e com comprimento suficiente. O algoritmo usado na pesquisa só foi capaz de adivinhar menos de 19% das senhas que foram construídas com boas práticas de segurança e continham strings exclusivas, não encontradas em um dicionário.

Isso serve apenas para sublinhar que uma senha boa e forte pode fornecer um bom grau de proteção, mesmo contra métodos de ataque emergentes.

November 16, 2020

Deixe uma Resposta