什么是按键推论,如何将其用于窃取密码?
尽管听起来可能有点像科幻小说或一部幻想的黑客电影,但《福布斯》最近确实报道了一份研究论文,研究了黑客如何使用简单的录像(例如Zoom视频通话录音)来使用一种方法来窃取密码。
随着Zoom和Google Meet等应用程序的日益普及和使用以进行远程工作会议,不良行为者一直在努力工作,试图找到滥用这些平台的新方法。即使采用了这些平台已采取的所有安全措施,新的密码盗用方法也可能绕过它们。
德克萨斯州和俄克拉荷马州的两所美国大学制作了一份研究论文,着眼于不良演员如何在视频会议通话中利用人的上臂和肩膀的动作来推断他们在键盘上键入的内容。该方法称为“按键推论”。
魔术是如何工作的?
显然,击键推断与使用击键记录器直接获取某人的密码并不相同,但是在受害者的系统上部署击键记录恶意软件也要困难得多。该研究论文解释说,不良演员可以使用人上半身的微小且看似微不足道的动作来粗略猜测他们在键盘上按下的键。
完整的方法依赖于在庞大的字典上引用视频输入人员的视觉提示,并据此推断出可能输入的字符串和单词。当然,为了使该方法起作用,坏演员将需要参加视频通话或侵入视频会议,以访问参与者的视频流。
该方法如何应对强密码?
由大学团队检查的算法显示出令人惊讶的高成功率-如果使用的密码字符串是大约一百万个单词的词典参考的一部分,则正确猜出以此方式检查的密码字符串的大约75%。
当然,这使我们回到了不再使用通用词作为密码的重要性,而想出了复杂的复合密码,其中包括字母,数字和符号,并且混合使用并具有足够的长度。该研究中使用的算法只能猜测不到19%的密码,这些密码是使用良好的安全做法构造的,并且包含字典中找不到的唯一字符串。
这仅是为了强调一个好的,强壮的密码可以提供良好的保护,甚至可以抵御新兴的攻击方法。