研究人员利用中阶的热感摄影机,可在一分钟内收集到键帽上残留的余温,便能收集到使用者刚输入的密码。
窃取密码又有新招式。加州大学艾尔文分校(University of California, Irvine, UCI)研究人员发展出以热感摄影机量测手指留在键盘上的余温,藉此窃取密码。。
UCI资讯系教授Gene Tsudik率领的研究团队本周发表一篇名为《热终结者:键盘密码输入的事后余温攻击法》的论文以展示此一新奇的攻击手法,可在使用者在普通键盘上输入密码后,利用中阶热感式摄影机蒐集到按压过的键帽上的温度。由于一分钟之内这个方法都可行。这意谓著,若是你输入密码后就走开的话,密码可能立马被人窃走。
研究小组在其测试中,让30名用户在4款知名市售键盘上输入10组有长、有短的密码后,以一款中阶的红外线热感应摄影机蒐集到键盘余温资料。结果显示,一个非经专业训练的使用者用这个方法,在首次输入后最长30秒之内可以收集到完整密码。而最长1分钟内可以收集到部份密码。
这种攻击法研究人员称为「热终结者」(Thermanator)的攻击法,可用以蒐集验证码、密码等短字串,他们还发现对使用「二指禅」输入法的人特别有效。
为免密码遭旁人窃取,研究人员建议在输入密码后以手在键盘上抹几下,或是改以滑鼠点击虚拟键盘输入密码。
这种攻击法需要黑客在受害者架设热感应摄影机,而且还必须能看清整个键盘,实际上限制颇多。但研究人员指出,最新攻击法再次显示密码防护的可能风险,而随著过去昂贵的侦测装置价格愈来愈便宜,电影《不可能的任务》中看似异想天开的旁路攻击法也变成可能。
领取专属 10元无门槛券
私享最新 技术干货