Nustatė dar vieną būdą sužinoti kompiuterinius slaptažodžius

2018 m. liepos 9 d. 12:12
Iš šiluminio pėdsako, liekančio ant paspausto klavišo galima nustatyti įvestą slaptažodį ar kokią nors kitą žmogaus įvestą simbolių seką, teigia tyrėjai iš Kalifornijos universiteto Irvine. Per eksperimentą su įvairiais klaviatūrų modeliais savanoriai sugebėjo nustatyti nuspaustus klavišus netgi praėjus kelioms dešimtims sekundžių nuo jų paspaudimo.
Daugiau nuotraukų (3)
Kompiuterių atakos dažniausiai vykdomos pasinaudojant operacinės sistemos ar programinės įrangos saugumo spragomis ir pažeidžiamumais, tačiau egzistuoja ir atskira atakų per pašalinius kanalus klasė, kai išnaudojami įrenginio praktinio įgyvendinimo trūkumai. Kadangi slaptažodžiai dažnai būna labai trumpi, o suteikia prieigą prie didžiausią vertę piktavaliams turinčios medžiagos, daugelis atakų pašaliniais kanalais tyrimų yra nukreipti būtent įvedamų slaptažodžių perėmimui. Pavyzdžiui, egzistuoja slaptažodžių aptikimo pagal spaudomų klavišų garsą būdai, o taip pat egzistuoja jų gavimo pagal išmanaus laikrodžio ar išmaniojo telefono akcelerometro duomenis. Kelios tyrėjų grupės pademonstravo, kad šiam tikslui galima panaudoti likusią pirštų šilumą, tačiau šiuose tyrimuose atakos buvo vykdomos prieš standartines dešimties klavišų bankomato klaviatūras ar devynis kontrolinius taškus naudojantį Android sistemos grafinį slaptažodį.
Kalifornijos universiteto Irvine tyrėjų grupė, vadovaujama Gene'o Tsudiko, parodė, kad panašią ataką galima įvykdyti ir su standartine kompiuterio klaviatūra, turinčia maždaug šimtą klavišų. Savo darbe autoriai dėmesį sutelkė į išorines klaviatūras, neįkaistančias nuo kompiuterio komponentų, kaip vyksta su nešiojamaisiais kompiuteriais. Eksperimente naudotos keturios skirtingų modelių klaviatūros ir termovizorinė kamera. Tyrėjai pakvietė 31 savanorį ir paprašė jų klaviatūromis įvesti po dešimt slaptažodžių. Įrašius slaptažodžius, infraraudonųjų spindulių kamera minutę fiksavo filmavo klaviatūrą tam, kad tyrėjai galėtų išsiaiškinti, kiek laiko galima atsekti slaptažodžius pagal šiluminius pėdsakus.
Surinktus duomenis tyrėjai analizavo ne patys, o kreipėsi į aštuonis savanorius, kurie nėra informacinių sistemų saugumo specialistai. Kiekvienam atsitiktine tvarka buvo parodyta po 150 nuotraukų, padarytų skirtingu laiku po slaptažodžio įvedimo. Pažymėtina, kad savanorių buvo prašoma nurodyti ne konkrečią simbolių seką, o tik nuspaustus klavišus.
Rezultatai smarkiai priklausė nuo spausdinimo metodo ir slaptažodžio sudėtingumo, tačiau savanoriai be klaidų paprastai sugebėdavo atkurti paspaustų klavišų rinkinius nuotraukose, darytose praėjus 20-30 sekundžių po įvedimo. Dar rezultatai parodė, kad spausdindami akluoju būdu, žmonės laiko pirštus virš „naminių“ klavišų eilės, o tai stipriai apsunkina rinktų simbolių nustatymą. Nors šis šnipinėjimo metodas nesuteikia galimybės patikimai nustatyti įvestų duomenų eiliškumo, jis gerokai susiaurina slaptažodžio paieškų sritį ir tuo pačiu piktavaliams smarkiai palengvina jų parinkimo užduotį.
Pernai Europos ir JAV mokslininkų grupė, panaudodama masės spektrometriją, sukūrė ant žmogaus odos ir aplinkinių daiktų esančių organinių molekulių 3D žemėlapio sukūrimo metodą. Žemėlapį galima panaudoti pirštų atspaudų paieškai ant bankomato klaviatūros po PIN kodo įvedimo.

UAB „Lrytas“,
A. Goštauto g. 12A, LT-01108, Vilnius.

Įm. kodas: 300781534
Įregistruota LR įmonių registre, registro tvarkytojas:
Valstybės įmonė Registrų centras

lrytas.lt redakcija news@lrytas.lt
Pranešimai apie techninius nesklandumus pagalba@lrytas.lt

Atsisiųskite mobiliąją lrytas.lt programėlę

Apple App StoreGoogle Play Store

Sekite mus:

Visos teisės saugomos. © 2024 UAB „Lrytas“. Kopijuoti, dauginti, platinti galima tik gavus raštišką UAB „Lrytas“ sutikimą.