Nové riziko počítačů. Tepelný otisk vašich prstu může prozradit vaše heslo
Výzkumníci z Glasgowské univerzity vyvinuli systém, který dokáže během několika sekund uhodnout hesla uživatelů počítačů a chytrých telefonů na základě analýzy tepelných stop, které zanechávají konečky prstů na klávesnicích a obrazovkách. Systémem nazvaným ThermoSecure chtěli ukázat, jak klesající cena termokamer a rostoucí přístup ke strojovému učení vytvářejí nová rizika pro „tepelné útoky“.
K tepelným útokům může dojít poté, co uživatelé zadají svůj přístupový kód na klávesnici počítače, obrazovce chytrého telefonu nebo klávesnici bankomatu, odejdou od zařízení a nechají je bez dozoru. Kolemjdoucí vybavený termokamerou může pořídit snímek, který odhalí tepelnou stopu místa, kde se jeho prsty dotkly zařízení. Čím je oblast na termálním snímku světlejší, tím méně času uplynulo od okamžiku, kdy se jí uživatel dotkl, jak uvádí web univerzity v Glasgow.
Měřením relativní intenzity teplejších oblastí tak lze identifikovat konkrétní písmena, číslice nebo symboly, které tvoří heslo, a odhadnout pořadí jejich použití. Útočníci pak mohou zkoušet různé kombinace, aby prolomili hesla uživatelů. Výzkum, který vedl k vývoji systému ThermoSecure, ukázal, že i laici mohou úspěšně uhodnout hesla pouhým pozorným sledováním tepelných snímků pořízených 30 až 60 sekund po dotyku povrchu.
V článku zveřejněném v časopise ACM Transactions on Privacy and Security tým vysvětluje, že se rozhodl využít strojové učení, aby zpřesnil proces útoku. Pořídili 1 500 termálních snímků nedávno použitých klávesnic QWERTY z různých úhlů a vycvičili model umělé inteligence, který snímky efektivně přečetl a na základě tepelné signatury kláves pomocí pravděpodobnostního modelu kvalifikovaně odhadl heslo.
Systém ThermoSecure dokázal odhalit 86 % hesel, pokud byly termální snímky pořízeny do 20 sekund, a 76 % do 30 sekund, přičemž úspěšnost klesla na 62 % po 60 sekundách zadávání. Systém byl také schopen úspěšně napadnout dlouhá hesla o délce 16 znaků během 20 sekund, a to s mírou správných pokusů až 67 %. Se zkracujícími se hesly se zvyšovala úspěšnost – dvanáctiznaková hesla byla uhodnuta až v 82 % případů, osmiznaková až v 93 % případů a u šestiznakových hesel byla úspěšnost až 100 %.
Výzkumníci se zaměřili také na další proměnné, které systému ThermoSecure usnadňovaly hádání hesel. Mezi ně patřil i styl psaní uživatelů klávesnice. Zjistili, že lidé, kteří píší pomalu, mají tendenci nechávat prsty na klávesách déle, což vytváří trvalejší tepelné stopy. Snímky pořízené do 30 sekund od dotyku klávesnice umožnily systému ThermoSecure úspěšně odhadnout hesla v 92 % případů u uživatelů, kteří píší pomalu, ale pouze v 80 % případů u uživatelů, kteří píší rychle. Kromě toho může typ materiálu, z něhož jsou klávesnice vyrobeny, ovlivnit jejich schopnost absorbovat teplo, což má vliv na účinnost tepelných útoků.
Společnost ThermoSecure dokázala úspěšně odhadnout hesla z tepla zachovaného na klávesách z plastu ABS přibližně v polovině případů, ale pouze ve 14 % případů u kláves z plastu PBT. Výzkumníci proto doporučují používat pokud možno dlouhé přístupové fráze. Delší přístupové fráze se zadávají déle, což ztěžuje získání přesného údaje na termokameře, zejména pokud uživatel píše rychle. Podsvícené klávesnice navíc produkují více tepla, což ztěžuje přesné měření teploty, takže podsvícená klávesnice z plastu PBT může být bezpečnější.
Zdroj: gla.ac.uk, dl.acm.org