Warmteoverdracht op toetsenbord kan wachtwoorden lekken
Onderzoekers van de University of California, Irvine hebben een nieuwe aanval ontwikkeld voor het achterhalen van wachtwoorden die net op een toetsenbord zijn ingevoerd. Als gebruikers op een toetsenbord een wachtwoord intypen vindt er warmteoverdracht plaats, waar de Thermanator-aanval gebruik van maakt.
De methode is vooral geschikt voor "insiders" binnen organisaties die bijvoorbeeld het wachtwoord van een collega willen achterhalen. Het is al langer bekend dat het via warmtecamera's mogelijk is om te zien welke toetsen er zijn ingedrukt. Volgens de onderzoekers is er echter nooit een systematisch onderzoek uitgevoerd naar de thermische profielen van toetsenborden en zijn er dus ook nooit pogingen ondernomen om ze te beveiligen.
Voor het onderzoek lieten de onderzoekers dertig mensen tien unieke wachtwoorden invoeren op vier veelgebruikte toetsenborden van Dell, HP, Logitech en Azio. Uit het onderzoek blijkt dat zelfs niet ervaren gebruikers 30 seconden nadat het wachtwoord is ingevoerd alle toetsaanslagen kunnen achterhalen. Een gedeeltelijke verzameling van de toetsaanslagen is zelfs nog een minuut na invoeren te achterhalen.
Verder blijkt dat "Hunt-and-Peck" typisten, mensen die met twee vingers een wachtwoord intypen, met name risico lopen. De onderzoekers stellen dat dit minder ervaren typisten zijn die trager typen. Ook gebruiken ze voornamelijk hun wijsvingers die een groter vingertop-oppervlakte hebben dan een ringvinger of pink en doen ze langer over elke toetsaanslag. Deze manier van typen zorgt ervoor dat er meer warmte wordt overgedragen wat de Thermanator-aanval helpt. Daarnaast raken deze typisten geen toetsen aan die geen onderdeel van het wachtwoord zijn.
Er zijn verschillende manieren om de Thermanator-aanval tegen te gaan, zoals het introduceren van "chaff typing". Nadat het wachtwoord is ingevoerd wordt de gebruiker gevraagd om zijn handen over het toetsenbord te halen of willekeurige toetsen in te drukken. Dit maakt het veel lastiger om te zien welke toetsen voor het wachtwoord zijn gebruikt. De onderzoekers stellen ook een veel extremere oplossing voor. "Misschien is het tijd om toetsenborden niet meer te gebruiken voor het invoeren van wachtwoorden of helemaal te stoppen met wachtwoorden."
Gewoin je toetsenbord gebruiken na je inlog en kijk altijd om je heen of er geen warmte camera op je gericht is!
Koud kunstje.
Asje
https://www.onemorething.nl/2014/08/pincodes-niet-veilig-voor-iphone-met-warmtecamera/
Gewoin je toetsenbord gebruiken na je inlog en kijk altijd om je heen of er geen warmte camera op je gericht is!
Het gebruiken van een pin kan een uitstekend alternatief zijn voor een wachtwoord. Als je de volgorde van de cijfers op het pinpad maar elke keer in een willekeurige volgorde zet. Verder altijd 2-factor authenticatie gebruiken..
Bovendien komen ze met een voorbeeld van een zwak en makkelijk te raden wachtwoord. Waarom zijn de shifttoetsen niet gebruikt?
Bij mij zouden er sowieso twee oranje vlekken op staan, omdat ik met 10 vingers blind typ en mijn handen al op de toetsen heb nog voordat ik ga typen (je weet wel: de streepjes op de F en J zijn de oriëntatiepunten).
Overigens gebeurt het nogal vaak dat ik een wachtwoord niet meteen goed heb vanwege de complexiteit.
Ik ben niet overtuigd en ik zie het niet als groot probleem.
Elke site, app of telefoon, die met wachtwoorden werkt zou verplicht moeten aangeven:
Ofwel A: Het wachtwoord is enkel om u een vals gevoel van veiligheid te geven. Want achter uw rug om trekken we alles leeg en verkopen het lekker. Daarbij is het bedoeld om, als u daar achter komt, u gelijk de schuld van onzorgvuldige wachtwoorden te geven. En er staat toch duidelijk dat u die regelmatig moet veranderen.
Ofwel B: Het wachtwoord dient om uw persoonlijke gegevens te beschermen. Ook tegen ons.
"Misschien is het tijd om toetsenborden niet meer te gebruiken voor het invoeren van wachtwoorden of helemaal te stoppen met wachtwoorden."
Dat is nou precies het verschil tussen theoretici en praktijkmensen, en waarom ik de universiteit vooral aardig vond voor de meer theoretische vakken zoals wiskunde. Er lopen dus echt onderzoekers rond die denken dat ze met dit theoretische onderzoek met al bekende resultaten de driver zijn om toetsenborden uit te bannen voor wachtwoordinvoer. Dan ben je volstrekt wereldvreemd.
)* KeePass heeft mijn voorkeur omdat je gebruikersnamen en wachtwoorden niet op het internet worden bewaard in een database(je) maar op je eigen computer of nog veiliger op een USB-stick. Wel zorgen voor een back-up want als het mis gaat ben je echt alles kwijt als er geen backup is, al dan niet als KeePass kdbx-bestand of als csv-bestand.
Veel gevaarlijker is de pinautomaat. Daar moet je eigenlijk na OK eigenlijk nog wat toetsen extra indrukken om de zaak zo goed mogelijk te misleiden, al denk ik dat dit bij de voortschrijdende techniek ook lastiger wordt omdat de boef zich op de vier toetsen die voor OK werden ingedrukt zal proberen te concentreren, dus bij de veiligheids-toetserij ook de pintoets-cijfers betrekken.
In de specificatie van de laptop staat dat er een Core 2 Duo P8700 verwarmingselement in zit.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging en Privacy
College ter Beoordeling van Geneesmiddelen
Als Adviseur Informatiebeveiliging en Privacy werk je voor de CISO en maak je onderdeel uit van een klein team Informatiebeveiliging en Privacy (IB&P) binnen de afdeling IV. Het IB&P-team is verantwoordelijk voor de beveiliging van informatie en informatie-systemen en het waarborgen van privacy binnen het CBG.
Chief Information Security Officer
Wij zijn op zoek naar een ervaren en gecertificeerde CISO die een bewezen track record heeft in het verder volwassen maken van de security functie binnen (overheids) organisaties. Het takenpakket van de CISO heeft een organisatie breed karakter en gaat veel verder dan ICT alleen.