Wat is inferentie met toetsaanslagen en hoe kan het worden gebruikt om wachtwoorden te stelen?
Hoewel het een beetje klinkt als sciencefiction of een fantasy-hackerfilm, heeft Forbes onlangs een onderzoeksartikel behandeld waarin wordt onderzocht hoe hackers een methode kunnen gebruiken om uw wachtwoorden te stelen met behulp van eenvoudig beeldmateriaal zoals een Zoom-videogesprekopname.
Met de toenemende populariteit en het sterke gebruik van applicaties zoals Zoom en Google Meet om op afstand te werken, zijn slechte actoren hard aan het werk geweest om nieuwe manieren te bedenken om die platforms te misbruiken. Zelfs met alle beveiligingsmaatregelen die deze platforms hebben geïmplementeerd, kan de nieuwe methode van wachtwoorddiefstal ze allemaal omzeilen.
Twee Amerikaanse universiteiten, Texas en Oklahoma, hebben een onderzoeksrapport opgesteld over hoe slechte acteurs de beweging van iemands bovenarmen en schouders kunnen gebruiken tijdens een videovergadering om af te leiden wat ze op hun toetsenbord typen. De methode wordt "toetsaanslag-gevolgtrekking" genoemd.
Hoe werkt de magie?
Het is duidelijk dat toetsaanslag-inferentie niet hetzelfde is als het direct achterhalen van iemands wachtwoord met behulp van een toetsaanslaglogger, maar het is ook veel moeilijker om een toetsaanslagregistratie-malware ook op het systeem van het slachtoffer te implementeren. Het onderzoekspaper legt uit dat slechte acteurs kleine en schijnbaar onbeduidende bewegingen van het bovenlichaam van een persoon kunnen gebruiken om ongeveer te raden welke toetsen ze op hun toetsenbord indrukken.
De volledige methodologie is gebaseerd op het verwijzen naar de visuele aanwijzingen van de persoon die op video typt in een enorm woordenboek en op basis hiervan afleiden welke strings en woorden kunnen worden getypt. Om deze methode te laten werken, moet de slechterik natuurlijk deelnemen aan het videogesprek of de videovergadering hebben gehackt om toegang te krijgen tot de videostreams van de deelnemers.
Hoe gaat de methode om met sterke wachtwoorden?
Het algoritme dat door de universiteitsteams is onderzocht, vertoont een verontrustend hoog slagingspercentage: ongeveer 75% van de op deze manier onderzochte wachtwoordreeksen werd correct geraden, als de gebruikte wachtwoordreeks deel uitmaakte van de woordenboekreferentie van ongeveer een miljoen woorden.
Dit brengt ons natuurlijk terug naar het belang van het nooit gebruiken van gewone woorden als wachtwoorden en het bedenken van complexe, samengestelde wachtwoorden die letters, cijfers en symbolen in een goede mix en met voldoende lengte bevatten. Het algoritme dat in het onderzoek werd gebruikt, kon slechts minder dan 19% van de wachtwoorden raden die waren geconstrueerd met behulp van goede beveiligingspraktijken en unieke strings bevatten die niet in een woordenboek voorkomen.
Dit dient alleen om te onderstrepen dat een goed, sterk wachtwoord zelfs tegen nieuw opkomende aanvalsmethoden een goede mate van bescherming kan bieden.
