Warmte van toetsen onthult pincodes en wachtwoorden
Het was al bekend dat wachtwoorden van gebruikers door het "afluisteren" van het keyboard achterhaald kon worden. Ook via de warmte van de toetsen is het mogelijk om wachtwoorden en pincodes te ontdekken, zo blijkt uit onderstaande demonstratie met een thermografiecamera (warmtecamera). Vijf a tien minuten na het indrukken van de toetsen op het toetsenbord kan de combinatie op een afstand van tien meter gelezen worden.
Zelfs als de toetsen maar even aangeraakt worden, brengt de gebruiker voldoende warmte over. De combinatie van de toetsen kan bepaald worden door de te kijken naar de warmte die de toetsen afgeven. De "koudste" toets is als eerste ingedrukt. Deze methode werkt niet meer als een toets meerdere keren gebruikt wordt, maar het vermindert nog altijd wel het aantal permutaties. Het lijkt onwaarschijnlijk dat deze techniek veel gebruikt zal worden, aangezien warmtecamera's vrij prijzig zijn. (Hack a Day)
het dan alsnog worden gestolen, kunnen ze er in elk geval
niet mee pinnen.
On topic: uiteraard moet 'deze onzin' serieus worden
genomen. De onwaarschijnlijkheid wordt snel weggenomen want
voor criminele organisatie's is een 'prijzige' camera
slechts een noodzakelijke investering van wat 'wisselgeld'.
Goed artikel al met al, met een nogal 'onthutsend' slechte
conclusie.
Wat ik trouwens zelf al jaren doe voor (en tijdens) het pinnen:
1. Bekijk de omgeving voor je de portefeuille uit je zak haalt.
2. Controleer of je 'pinslede' gemanipuleerd is.
3. Strijk met je drie vingers over het keypad van de ATM
alvorens je eigen pin combinatie in te voeren. Dezelfde
handeling voer je erna opnieuw uit.
4. Wees tijdens het pinnen bedacht op je omgeving.
Nou Microsoft kan haar strong password policy weer aanpassen ;)
Neem ook meerdere dezelfde letters op in uw wachtwoord en maak het
wacht woord 32 karakters lang...
tjezus valt toch niet tegen op te werken...
mrhawkeye
via een toetsaanslag overgebracht worden...
o nee ben alweer te laat ze zijn er al...
ook grof onderschat trouwens...lekker pinnen bij de bank en hoppa virus..
aangezien warmtecamera's vrij prijzig zijn."
Heh. Dus die criminielen jatten wel pincodes, maar betalen netjes voor die
dure camera's? Denk het niet!
-R.
meter mijn toetsenbord met een warmteimaging apparaat bekijken?
Bovendien is het aantal permutaties erg groot, ook als de toesten bekend
zouden zijn. In het geval van mijn wachtwoord is de kans op raden:
1/80318101760000 of 0,0000000000000124 groot moeten zijn.
En als ik even mijn vingers over alle toetsen heen ga, dan is de kans op
raden vrijwel 0,0
Maar geniaal is het kraken van paswoorden door middel van
identificatie van de individuele toets aanslagen.
http://it.slashdot.org/article.pl?sid=05/09/13/1644259
http://www.cs.berkeley.edu/~tygar/papers/Keyboard_Acoustic_Emanations_Revisited/preprint.pdf
groot gevaar te zijn.
toetsen ook nog een keertje aanraken :P
met een naald op de toetsen van de geldautomaat werden
achtergelaten.
men observeerde pinners en liep na het pinnen naar het keypad:
(ca.)4 toetsen waren 'schoon'.
men wist waar de pinner woonde via navraag bij de RDW
(kentekenregister)
pas stelen en gokken va de juiste volgorde
ik herinner mij ook een truc met druppeltjes handcreme die
met een naald op de toetsen van de geldautomaat werden
achtergelaten.
men observeerde pinners en liep na het pinnen naar het keypad:
(ca.)4 toetsen waren 'schoon'.
men wist waar de pinner woonde via navraag bij de RDW
(kentekenregister)
pas stelen en gokken va de juiste volgorde
Hmmm.. ik had me nu net voorgenomen dat hier niet op het web te zetten.
Gelukkig is de truuk voor de juiste volgorde niet algemeen bekend.
Zegt trouwens de Dresdner bank hier iemand iets?
de RDW (kentekenregister)
Een normaal mens komt daar mooi niet bij!
-R.
de RDW (kentekenregister)
Een normaal mens komt daar mooi niet bij!
-R.
je bedoelt dat je als autobedrijf, sloper bekend moet staan?
de RDW (kentekenregister)
Een normaal mens komt daar mooi niet bij!
-R.
je bedoelt dat je als autobedrijf, sloper bekend moet staan?
Iedereen kan op de site http://www.rdw.nl een beperkt aantal technische data
van een voertuig opvragen a.d.h.v. een kenteken. Maar geen tot personen
herleidbare gegevens. Op de site staat daarover: "Persoonsgegevens
worden alleen aan autoriteiten en belanghebbenden verstrekt die hier
binnen wettelijk vastgestelde kaders recht op hebben." Kortom: politie,
verzekeraars en dergelijke krijgen die gegevens wel.
gegevens over kentekens opvragen...
die website van de RDW is vet onduidelijk. Je kan helemaal
geen
gegevens over kentekens opvragen...
https://info.apk.nl/ovi/oviinvoer.aspx
200 meter afstand . Waarbij je ook nog een pasje nodig hebt.
Kan deze methode ook gebruikt worden om bij bedrijven die
hun pand beveiligen zonder pasje maar met pincode binnen te
komen. Daarom lijkt het me wel een intressante methode.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.