研究人員展示以熱感攝影機蒐集鍵盤上手指餘溫竊取密碼

竊取密碼又有新招式。加州大學艾爾文分校（University of California, Irvine, UCI）研究人員發展出以熱感攝影機量測手指留在鍵盤上的餘溫，藉此竊取密碼。

UCI資訊系教授Gene Tsudik率領的研究團隊本周發表一篇名為《熱終結者：鍵盤密碼輸入的事後餘溫攻擊法》的論文以展示此一新奇的攻擊手法，可在使用者在普通鍵盤上輸入密碼後，利用中階熱感式攝影機蒐集到按壓過的鍵帽上的溫度。由於一分鐘之內這個方法都可行。這意謂著，若是你輸入密碼後就走開的話，密碼可能立馬被人竊走。

研究小組在其測試中，讓30名用戶在4款知名市售鍵盤上輸入10組有長、有短的密碼後，以一款中階的紅外線熱感應攝影機蒐集到鍵盤餘溫資料。結果顯示，一個非經專業訓練的使用者用這個方法，在首次輸入後最長30秒之內可以蒐集到完整密碼。而最長1分鐘內可以蒐集到部份密碼。

這種攻擊法研究人員稱為「熱終結者」（Thermanator）的攻擊法，可用以蒐集驗證碼、密碼等短字串，他們還發現對使用「二指禪」輸入法的人特別有效。

為免密碼遭旁人竊取，研究人員建議在輸入密碼後以手在鍵盤上抹幾下，或是改以滑鼠點擊虛擬鍵盤輸入密碼。

這種攻擊法需要駭客在受害者架設熱感應攝影機，而且還必須能看清整個鍵盤，實際上限制頗多。但研究人員指出，最新攻擊法再次顯示密碼防護的可能風險，而隨著過去昂貴的偵測裝置價格愈來愈便宜，電影《不可能的任務》中看似異想天開的旁路攻擊法也變成可能。