Тепло пальцев на клавиатуре раскрыло пароль пользователя

Тепловой след от пароля iloveyou, введенного человеком, использующим слепой метод печати
Tyler Kaczmarek et al. / arXiv.org, 2018
Тепловой след, остающийся на клавишах после нажатия, можно использовать для определения пароля или другой последовательности символов, которую вводил человек, выяснили исследователи из Калифорнийского университета в Ирвайне. Во время экспериментов на разных моделях клавиатур добровольцы смогли полностью определить набор нажатых клавиш через несколько десятков секунд после ввода.
Обычно компьютерные атаки основаны на использовании уязвимостей в операционной системе или программах, но существует и класс атак по сторонним каналам, которые используют недостатки практической реализации устройства. Поскольку пароли часто имеют очень малую длину, но представляют огромную ценность для злоумышленников, многие исследования в области атак по сторонним каналам направлены на получение паролей при вводе. Например, существуют способы обнаружения пароля по звуку клавиш, а также методы определения пароля по показаниям акселерометра умных часов или смартфона. Также несколько групп исследователей показали, что для этого можно использовать тепловой след, оставляемый пальцами, но атаки в этих исследованиях применялись к стандартной десятиклавишной клавиатуре банкомата или к графическому паролю в системе Android, использующему девять контрольных точек.
Группа исследователей из Калифорнийского университета в Ирвайне под руководством Джина Цудика (Gene Tsudik) показала, что подобную атаку можно применить и к стандартным клавиатурам компьютеров с примерно сотней клавиш. В своей работе авторы сконцентрировались на внешних клавиатурах, которые не нагреваются от компонентов компьютера, как это происходит в ноутбуках. В эксперименте применялись четыре клавиатуры разных моделей и тепловизионная камеру. Исследователи пригласили 31 добровольца и попросили их ввести на клавиатурах по десять паролей. После ввода пароля инфракрасная камера снимала клавиатуру в течение минуты для того, чтобы исследователи могли понять, в течение какого времени пароль можно считать через тепловой отпечаток.
В прошлом году группа европейских и американских ученых разработала метод составления с помощью масс-спектрометрии 3D-карты органических молекул на коже человека и окружающих его предметах, которую можно использовать для обнаружения следов пальцев после ввода PIN-кода на клавиатуре банкомата.
Григорий Копиев