Mithilfe von KI können Wärmebildkameras verwendet werden, um die Tasten zu erkennen, die Sie bei der Eingabe Ihres Passworts auf einer Tastatur drücken.
Ein Team bei der Universität Glasgow (öffnet in neuem Tab) untersuchte, wie KI anstelle einer bloßen visuellen Inspektion erfolgreich bei der Verarbeitung von Wärmebildern eingesetzt werden kann, die Hitzespuren erkennen, die auf den Tastenkappen von Tastaturen hinterlassen wurden, wenn Passwörter eingegeben wurden.
Die Forscher demonstrierten die Wirksamkeit des als ThermoSecure bekannten Systems anhand von 1.500 Bildern von Tastaturen mit Hitzespuren vom Tippen.
ThermoSecure
In ihrer ersten Studie behaupten die Forscher, dass „ThermoSecure erfolgreich Passwörter mit 6 Symbolen, 8 Symbolen, 12 Symbolen und 16 Symbolen mit einer durchschnittlichen Genauigkeit von 92 %, 80 %, 71 % bzw. 55 % angreift und noch höhere Genauigkeit, wenn Wärmebilder innerhalb von 30 Sekunden aufgenommen werden.“
Sie sagten auch, dass „das Tippverhalten die Anfälligkeit für thermische Angriffe erheblich beeinflusst: Hunt-and-Peck-Schreibkräfte sind anfälliger als schnelle Schreibkräfte (92 % vs. 83 % thermischer Angriffserfolg).“
Die zweite Studie ergab auch, dass das Material der Tasten einen signifikanten Einfluss auf den Erfolg von thermischen Angriffen hatte. Ein häufig verwendetes Material, der Copolymer-Kunststoff Acrylnitril-Butadien-Styrol (ABS), führte zu länger anhaltenden Wärmespuren von Pressen als bei PBT-Tasten. Dies bedeutete, dass Angriffe auf ABS-Tastenkappen eine durchschnittliche Genauigkeit von 52 % hatten, während Angriffe auf PBT-Tastenkappen nur 14 % hatten.
Was die verwendete Ausrüstung betrifft, wird nur eine einfache Wärmebildkamera benötigt – die Forscher stellten fest, dass Modelle für nur etwa 150 US-Dollar ausreichen. Die KI-Software arbeitet über eine Objekterkennung auf Basis von Mask RCNN, die das Wärmebild auf die Tasten der Tastatur abbildet. Variablen wie die Tastaturlokalisierung werden berücksichtigt, bevor die Tasteneingabe und die Erkennung mehrerer Tastendrücke berücksichtigt werden, und ein Algorithmus bestimmt die Reihenfolge der Tastendrücke.
Obwohl es unwahrscheinlich ist, dass Sie in der realen Welt eine auf Ihr Gerät trainierte Wärmebildkamera haben, gibt es einige Schritte, die Sie unternehmen können, um sich vor solchen Angriffen zu schützen. Erstens sind, wie bereits angedeutet, Schreibkräfte, die auf Jagd gehen und picken, einem größeren Risiko ausgesetzt, daher kann es hilfreich sein, längere Passwörter zu verwenden und wenn möglich schneller zu tippen.
Außerdem können hintergrundbeleuchtete Tastaturen mehr Wärme abgeben, was tatsächlich dazu beiträgt, die Wärmesignaturen von gedrückten Tasten zu maskieren. Und selbst wenn Sie die sichersten Passwörter verwenden, die von einem Passwortgenerator erstellt wurden, zusammen mit dem bestmöglichen Passwortmanager, sind biometrische und andere passwortlose Optionen immer besser, da es aus Sicht eines thermischen Angriffs überhaupt keine signifikanten Tastendrücke gibt.