Hvad er tastetrykinference og hvordan kan det bruges til at stjæle adgangskoder?
Selvom det måske lyder lidt som science fiction eller en fantasy-hacker-film, dækkede Forbes faktisk for nylig et forskningspapir, der undersøger, hvordan hackere kan bruge en metode til at stjæle dine adgangskoder ved hjælp af enkle optagelser som en Zoom-videoopkaldsoptagelse.
Med den stigende popularitet og stigning i brugen af applikationer som Zoom og Google Meet til at gennemføre fjernmøder, har dårlige skuespillere været hårdt på arbejde med at forsøge at komme med nye måder at misbruge disse platforme på. Selv med alle de sikkerhedsforanstaltninger, som disse platforme har implementeret, kan den nye metode til adgangskodetyveri muligvis omgå dem alle.
To amerikanske universiteter i Texas og Oklahoma producerede et forskningsoplæg med fokus på, hvor dårlige skuespillere kan bruge bevægelsen af en persons overarme og skuldre i et videomødeopkald for at trække det, de skriver på deres tastatur. Metoden kaldes "tastetrykinferens".
Hvordan fungerer magien?
Det er åbenlyst, at tastetrykinferens ikke er det samme som at få fat i nogens adgangskode ved hjælp af en tastetryklogger, men det er også meget sværere at installere en malware-tastetryklogning på offerets system også. Forskningspapiret forklarer, at dårlige skuespillere kunne bruge små og tilsyneladende ubetydelige bevægelser af en persons overkrop til groft at gætte, hvilke taster de trykker på deres tastatur.
Den fulde metode er afhængig af at henvise til de visuelle signaler fra den person, der skriver på video, mod en stor ordbog og udlede, hvilke strenge og ord der kan indtastes, baseret på dette. For at denne metode skal fungere, skal den dårlige skuespiller naturligvis enten være med til at deltage i videoopkaldet eller have hacket sig ind i videomødet for at få adgang til deltagernes videostrømme.
Hvordan håndterer metoden stærke adgangskoder?
Algoritmen, der blev undersøgt af universitetsteamene, viser en foruroligende høj succesrate - omkring 75% af adgangskodestrengene, der blev undersøgt på denne måde, blev gættet korrekt, hvis den anvendte adgangskodestreng var en del af ordbogsreferencen på omkring en million ord.
Selvfølgelig bringer dette os tilbage til vigtigheden af aldrig at bruge almindelige ord som adgangskoder og komme med komplekse, sammensatte adgangskoder, der inkluderer bogstaver, tal og symboler i en god blanding og med tilstrækkelig længde. Algoritmen, der blev brugt i forskningen, kunne kun gætte mindre end 19% af de adgangskoder, der blev konstrueret ved hjælp af god sikkerhedspraksis og indeholdt unikke strenge, der ikke findes i en ordbog.
Dette tjener kun til at understrege, at en god, stærk adgangskode kan give en god grad af beskyttelse, selv mod nye nye angrebsmetoder.
