什麼是按鍵推論,如何將其用於竊取密碼?
儘管聽起來可能有點像科幻小說或一部幻想的黑客電影,但《福布斯》最近確實報導了一份研究論文,研究了黑客如何使用簡單的錄像(例如Zoom視頻通話錄音)來使用一種方法來竊取密碼。
隨著Zoom和Google Meet等應用程序的日益普及和使用以進行遠程工作會議,不良行為者一直在努力工作,試圖找到濫用這些平台的新方法。即使採用了這些平台已採取的所有安全措施,新的密碼盜用方法也可能繞過它們。
德克薩斯州和俄克拉荷馬州的兩所美國大學製作了一份研究論文,著眼於不良演員如何在視頻會議通話中利用人的上臂和肩膀的動作來推斷他們在鍵盤上鍵入的內容。該方法稱為“按鍵推論”。
魔術是如何工作的?
顯然,擊鍵推斷與使用擊鍵記錄器直接獲取某人的密碼並不相同,但是在受害者的系統上部署擊鍵記錄惡意軟件也要困難得多。該研究論文解釋說,不良演員可以使用人上半身的微小且看似微不足道的動作來粗略猜測他們在鍵盤上按下的鍵。
完整的方法依賴於在龐大的字典上引用視頻輸入人員的視覺提示,並據此推斷出可能輸入的字符串和單詞。當然,為了使該方法起作用,壞演員將需要參加視頻通話或侵入視頻會議,以訪問參與者的視頻流。
該方法如何應對強密碼?
由大學團隊檢查的算法顯示出令人不安的高成功率-如果使用的密碼字符串是大約一百萬個單詞的字典參考的一部分,則正確猜出以此方式檢查的密碼字符串的大約75%。
當然,這使我們回到了不再使用通用詞作為密碼的重要性,而想出了複雜的複合密碼,其中包括字母,數字和符號,並且混合使用並具有足夠的長度。該研究中使用的算法只能猜測不到19%的密碼,這些密碼是使用良好的安全做法構造的,並且包含字典中找不到的唯一字符串。
這僅是為了強調一個好的,強壯的密碼可以提供良好的保護,甚至可以抵禦新興的攻擊方法。