Vad är tangenttryckningsinledning och hur kan det användas för att stjäla lösenord?
Även om det kan låta lite som science fiction eller en fantasyhackerfilm, täckte Forbes nyligen ett forskningspapper som undersöker hur hackare kan använda en metod för att stjäla dina lösenord med enkla bilder som en Zoom-videosamtalinspelning.
Med den ökande populariteten och ökningen i användningen av applikationer som Zoom och Google Meet för att genomföra fjärrarbetsmöten har dåliga skådespelare varit hårt på jobbet med att försöka komma på nya sätt att missbruka dessa plattformar. Även med alla säkerhetsåtgärder som dessa plattformar har implementerat kan den nya metoden för lösenordsstöld kunna kringgå dem alla.
Två amerikanska universitet, Texas och Oklahoma, producerade ett forskningspapper som fokuserade på hur dåliga skådespelare kan använda rörelsen för en persons överarmar och axlar i ett videomöte för att dra av vad de skriver på tangentbordet. Metoden kallas "tangenttryckningsinferens".
Hur fungerar magin?
Uppenbarligen är tangenttryckningsinferens inte samma sak som att direkt ta tag i någons lösenord med hjälp av en tangenttryckningslogger men det är också mycket svårare att distribuera en skadlig tangenttryckningsloggning på offrets system också. Forskningsdokumentet förklarar att dåliga skådespelare kan använda små och till synes obetydliga rörelser i en persons överkropp för att ungefär gissa vilka tangenter de trycker på på tangentbordet.
Hela metoden bygger på att man hänvisar till de visuella signalerna från personen som skriver på video mot en stor ordlista och drar slutsatser om vilka strängar och ord som kan skrivas in, baserat på detta. Naturligtvis, för att denna metod ska fungera, måste den dåliga skådespelaren antingen delta i videosamtalet eller ha hackat in videomötet för att få tillgång till deltagarnas videoströmmar.
Hur klarar metoden starka lösenord?
Algoritmen som granskats av universitetsteamen visar en oroande hög framgångsgrad - cirka 75% av lösenordssträngarna som undersöktes på det här sättet gissades korrekt, om den använda lösenordssträngen var en del av ordbokshänvisningen på cirka en miljon ord.
Naturligtvis kommer detta tillbaka till vikten av att aldrig använda vanliga ord som lösenord och komma med komplexa, sammansatta lösenord som innehåller bokstäver, siffror och symboler i en bra mix och med tillräcklig längd. Algoritmen som användes i forskningen kunde bara gissa mindre än 19% av lösenorden som konstruerades med god säkerhetspraxis och innehöll unika strängar, som inte finns i en ordlista.
Detta tjänar bara till att betona att ett bra, starkt lösenord kan ge en bra grad av skydd även mot nya framkallningsmetoder.