Naukowcy z Uniwersytetu w Glasgow opracowali system AI o nazwie ThermoSecure, który analizuje ślady ciepła palców na klawiaturze i odgaduje hasła. Takie informacje podaje Techxplore.
Według naukowców w ciągu 30-60 sekund po interakcji z przyciskami pojawiają się na nich ślady, które można utrwalić za pomocą taniej kamery termowizyjnej. Im jaśniejszy obszar na obrazie, tym wcześniej został dotknięty.
Poprzez pomiar intensywności ciepłych śladów można poznać konkretne litery, cyfry lub symbole składające się na hasło, a także ustalić ich kolejność. Mając te informacje, napastnicy mogą wybrać odpowiednią kombinację.
Lider badania Mohamed Khamis powiedział, że w poprzedniej pracy niespecjalistów udało się odgadnąć hasła przez przeglądanie obrazów termicznych. Teraz naukowiec i jego zespół wykorzystali uczenie maszynowe, aby poprawić dokładność ataku.
W tym celu wykonali 1500 zdjęć termicznych niedawno używanych klawiatur QWERTY pod różnymi kątami. Następnie wyszkolili algorytm do czytania obrazów i tworzenia wykształconych domysłów na temat haseł z podpowiedzi podpisu, przy użyciu modelu probabilistycznego.
W dwóch próbach z udziałem użytkowników stwierdzono, że ThermoSecure był w stanie ujawnić 86% i 76% haseł, jeśli obraz termiczny został wykonany w ciągu odpowiednio 20 i 30 sekund. Po minucie od interakcji z klawiaturą dokładność algorytmu spadła do 62%.
Naukowcy stwierdzili również, że w ciągu 20 sekund ThermoSecure był w stanie z powodzeniem odgadnąć nawet długie, 16-znakowe hasła w 67% przypadków. Wraz ze zmniejszaniem się haseł rosła dokładność rozpoznawania: kody dwunastoznakowe do 82%, ośmioznakowe do 93%, a sześcioznakowe do 100%.
Badacze zbadali również dodatkowe zmienne, które ułatwiały ThermoSecure wybieranie haseł. Jednym z nich był styl pisania.
Badacze stwierdzili, że algorytm gorzej radził sobie z rozpoznawaniem haseł u użytkowników, którzy wpisywali je na ślepo. Mniej doświadczeni użytkownicy mają tendencję do dłuższego trzymania palców na klawiszach, co powoduje lepsze zatrzymywanie ciepła.
Materiał, z którego wykonana jest klawiatura, również wpływa na sukces rozpoznania – twierdzą eksperci.
Dostępność kamer termowizyjnych i modeli uczenia maszynowego pozwoliłaby każdemu na powielenie takiego ataku, powiedział Hamis.
Ważne jest, aby badania nad bezpieczeństwem komputerowym nadążały za tymi zmianami, aby znaleźć nowe sposoby na zmniejszenie ryzyka hacku.
Jak zapobiec takim atakom?
Khamis dodał, że ich zespół pracuje również nad zaleceniami, które mają zapobiec takim atakom. Jedną z opcji, powiedział, jest zakaz sprzedaży kamer termowizyjnych bez dodatkowej ochrony po stronie oprogramowania.
Obecnie opracowujemy system przeciwdziałania oparty na AI, który mógłby pomóc w rozwiązaniu tego problemu.
Badacze zalecili użytkownikom ustawienie długich haseł i włączenie dodatkowych metod uwierzytelniania, takich jak odcisk palca czy rozpoznawanie twarzy.