image

Onderzoekers achterhalen ingevoerde wachtwoorden via warmtebeeldcamera

dinsdag 11 oktober 2022, 11:57 door Redactie, 11 reacties

Onderzoekers van de Universiteit van Glasgow hebben een systeem ontwikkeld waarbij ze door middel van een warmtebeeldcamera en machine learning de wachtwoorden kunnen achterhalen die mensen op een keyboard, smartphone of keypad van een geldautomaat hebben ingevoerd. Hoe korter het wachtwoord, des te succesvoller het systeem is met het achterhalen ervan.

Via de warmtebeeldcamera is het mogelijk om de achtergebleven warmte op het oppervlak te detecteren. Door de intensiteit van warme gebieden op het keyboard te meten is het mogelijk om specifieke letters, getallen of symbolen te achterhalen. Daarvandaan kan een aanvaller vervolgens verschillende combinaties proberen om het wachtwoord van de gebruiker te kraken.

Het ThermoSecure-systeem van de onderzoekers is in staat om 86 procent van de wachtwoorden te achterhalen wanneer de warmtebeelden binnen twintig seconden worden genomen. Na dertig seconden is dit naar 76 procent gedaald en na een minuut is het systeem nog bij 62 procent van de wachtwoorden succesvol.

Ook blijkt dat het systeem minder effectief wordt bij langere wachtwoorden. Bij wachtwoorden van zes, acht, twaalf en zestien karakters haalt het systeem een gemiddeld nauwkeurigheidspercentage van respectievelijk 92 procent, 80 procent, 71 procent en 55 procent. Hoe sneller de warmtebeelden worden gemaakt hoe hoger de nauwkeurigheid.

Volgens de onderzoekers zijn warmtebeeldcamera's tegenwoordig voor minder dan tweehonderd euro te vinden en wordt ook machine learning steeds toegankelijker. De onderzoekers doen verschillende aanbevelingen om aanvallen zoals die met hun systeem te voorkomen, waaronder een verbod op de verkoop van warmtebeeldcamera's zonder specifieke software om de bovenbeschreven aanval tegen te gaan.

Eindgebruikers kunnen zichzelf beschermen door lange passphrases te gebruiken. Dit zijn wachtwoorden die uit meerdere woorden bestaan. Passphrases maken het lastiger om een nauwkeurig beeld te krijgen. Daarnaast produceren backlit-keyboards meer warmte, wat het ook lastiger maakt om de toetsaanslagen nauwkeurig af te lezen.

Image

Reacties (11)
11-10-2022, 12:21 door Anoniem
Of door alle toetsen of delen van een scherm aan te raken.
Dus extra warmte ruis produceren.
11-10-2022, 12:28 door Anoniem
Ik dacht dat ik zo iets al enkele jaren geleden gelezen had.
Over pincode bij pin automaten achterhalen.
11-10-2022, 13:31 door Anoniem
een verbod op de verkoop van warmtebeeldcamera's zonder specifieke software om de bovenbeschreven aanval tegen te gaan.

Hoe komen ze er zelfs op. Dit is zo goed als onmogelijk om te implementeren op dit moment. Zo'n camera is gewoon een ding dat dient om een beeld op te nemen of door te sturen.

Beter zou zijn als bijvoorbeeld pinautomaten de toetsen zelf gaan verwarmen.
11-10-2022, 14:51 door _R0N_
Door Anoniem: Ik dacht dat ik zo iets al enkele jaren geleden gelezen had.
Over pincode bij pin automaten achterhalen.

Inderdaad, het advies was toen ook om even alle toetsen aan te raken zodat het false positives geeft.
11-10-2022, 15:05 door Anoniem
Pen, sleutel of iets anders gebruiken om wachtwoord in te toetsen?
11-10-2022, 15:16 door Anoniem
Pin/geldautomaten zullen worden aangepast
het invoeren van je pincode is straks voorbij dat is natuurlijk
al in de maak want over wachtwoorden daar zijn ze nu ook
al actief over aan het publiceren dat het niet meer deugt en zeker na dit soort onderzoeken
die overigens niet nieuw zijn.

Whats next,vast zitten aan je smartphone?

EUNL/2022
11-10-2022, 15:31 door Anoniem
Door _R0N_:
Door Anoniem: Ik dacht dat ik zo iets al enkele jaren geleden gelezen had.
Over pincode bij pin automaten achterhalen.

Inderdaad, het advies was toen ook om even alle toetsen aan te raken zodat het false positives geeft.
Iets wat ik dus al jaren doe, als ik mijn pincode heb ingetoetst leg ik mijn hand even op alle toetsen.
11-10-2022, 17:21 door Anoniem
Ik gebruik mijn sleutel voor pincode in te voeren.
Wel het plastic gedeelte, anders slijt je sleutel, ijzer op ijzer.
Hygiene, alleen hebben ze tegenwoordig vieze touch-screen waar je sleutel niet werkt.
11-10-2022, 17:32 door Anoniem
Door Anoniem:
Door _R0N_:
Door Anoniem: Ik dacht dat ik zo iets al enkele jaren geleden gelezen had.
Over pincode bij pin automaten achterhalen.

Inderdaad, het advies was toen ook om even alle toetsen aan te raken zodat het false positives geeft.
Iets wat ik dus al jaren doe, als ik mijn pincode heb ingetoetst leg ik mijn hand even op alle toetsen.

Warmteoverdracht op toetsenbord kan wachtwoorden lekken
woensdag 4 juli 2018, 13:43 door Redactie

https://www.security.nl/posting/568629/Warmteoverdracht+op+toetsenbord+kan+wachtwoorden+lekken
11-10-2022, 21:31 door Anoniem
Door Anoniem:
Door Anoniem:
Door _R0N_:
Door Anoniem: Ik dacht dat ik zo iets al enkele jaren geleden gelezen had.
Over pincode bij pin automaten achterhalen.

Inderdaad, het advies was toen ook om even alle toetsen aan te raken zodat het false positives geeft.
Iets wat ik dus al jaren doe, als ik mijn pincode heb ingetoetst leg ik mijn hand even op alle toetsen.

Warmteoverdracht op toetsenbord kan wachtwoorden lekken
woensdag 4 juli 2018, 13:43 door Redactie

https://www.security.nl/posting/568629/Warmteoverdracht+op+toetsenbord+kan+wachtwoorden+lekken

Warmte van toetsen onthult pincodes en wachtwoorden
donderdag 24 november 2005, 09:45 door Redactie, 18 reacties

https://www.security.nl/posting/12319/Warmte+van+toetsen+onthult+pincodes+en+wachtwoorden
16-10-2022, 21:18 door Anoniem
Handschoenen aandoen; is dat een idee? :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.