研究人員利用熱感攝影機成功自鍵盤輸入後20秒測得密碼iloveyou。

圖片來源: 

UCI

竊取密碼又有新招式。加州大學艾爾文分校(University of California, Irvine, UCI)研究人員發展出以熱感攝影機量測手指留在鍵盤上的餘溫,藉此竊取密碼。

UCI資訊系教授Gene Tsudik率領的研究團隊本周發表一篇名為《熱終結者:鍵盤密碼輸入的事後餘溫攻擊法》的論文以展示此一新奇的攻擊手法,可在使用者在普通鍵盤上輸入密碼後,利用中階熱感式攝影機蒐集到按壓過的鍵帽上的溫度。由於一分鐘之內這個方法都可行。這意謂著,若是你輸入密碼後就走開的話,密碼可能立馬被人竊走。

研究小組在其測試中,讓30名用戶在4款知名市售鍵盤上輸入10組有長、有短的密碼後,以一款中階的紅外線熱感應攝影機蒐集到鍵盤餘溫資料。結果顯示,一個非經專業訓練的使用者用這個方法,在首次輸入後最長30秒之內可以蒐集到完整密碼。而最長1分鐘內可以蒐集到部份密碼。

這種攻擊法研究人員稱為「熱終結者」(Thermanator)的攻擊法,可用以蒐集驗證碼、密碼等短字串,他們還發現對使用「二指禪」輸入法的人特別有效。

為免密碼遭旁人竊取,研究人員建議在輸入密碼後以手在鍵盤上抹幾下,或是改以滑鼠點擊虛擬鍵盤輸入密碼。

這種攻擊法需要駭客在受害者架設熱感應攝影機,而且還必須能看清整個鍵盤,實際上限制頗多。但研究人員指出,最新攻擊法再次顯示密碼防護的可能風險,而隨著過去昂貴的偵測裝置價格愈來愈便宜,電影《不可能的任務》中看似異想天開的旁路攻擊法也變成可能。


Advertisement

更多 iThome相關內容