キーストローク推論とは何ですか?パスワードを盗むためにどのように使用できますか?
サイエンスフィクションやファンタジーハッカー映画のように聞こえるかもしれませんが、フォーブスは最近、ハッカーがズームビデオ通話録音のような単純な映像を使用してパスワードを盗む方法を使用する方法を調べた研究論文を取り上げました。
ZoomやGoogleMeetなどのアプリケーションを使用してリモートワークミーティングを実施する人気が高まり、急増しているため、悪意のある人物は、これらのプラットフォームを悪用する新しい方法を考え出すことに熱心に取り組んでいます。これらのプラットフォームが実装したすべてのセキュリティ対策があっても、パスワード盗難の新しい方法はそれらすべてを回避できる可能性があります。
テキサス州とオクラホマ州の2つの米国の大学は、悪意のある人物がビデオ会議の電話で人の上腕と肩の動きを使用して、キーボードで入力している内容を差し引く方法に焦点を当てた研究論文を作成しました。この方法は「キーストローク推論」と呼ばれます。
魔法はどのように機能しますか?
明らかに、キーストロークの推論は、キーストロークロガーを使用して誰かのパスワードを直接取得することと同じではありませんが、被害者のシステムにキーストロークロギングマルウェアを展開することもはるかに困難です。研究論文は、悪役がキーボードでどのキーを押しているかを大まかに推測するために、人の上半身の小さくて一見取るに足らない動きを使用する可能性があると説明しています。
完全な方法論は、広大な辞書に対してビデオを入力する人からの視覚的な手がかりを参照し、これに基づいてどの文字列と単語が入力されるかを推測することに依存しています。もちろん、この方法が機能するためには、悪意のある俳優がビデオコールに参加するか、参加者のビデオストリームにアクセスするためにビデオ会議にハッキングする必要があります。
この方法は強力なパスワードにどのように対処しますか?
大学のチームが調べたアルゴリズムは、不穏に高い成功率を示しています。使用したパスワード文字列が約100万語の辞書参照の一部である場合、この方法で調べたパスワード文字列の約75%が正しく推測されました。
もちろん、これにより、一般的な単語をパスワードとして使用せず、文字、数字、記号を適切に組み合わせて十分な長さで含む複雑で複合的なパスワードを考え出すことの重要性に戻ります。調査で使用されたアルゴリズムは、優れたセキュリティ手法を使用して構築され、辞書にない一意の文字列を含むパスワードの19%未満しか推測できませんでした。
これは、優れた強力なパスワードが、新たに出現した攻撃方法に対しても十分な保護を提供できることを強調するためにのみ役立ちます。