Investigadores de seguridad discuten las contraseñas representan un método cada vez más tambaleante de verificación, tras el descubrimiento de un exploit que potencialmente puede discernir una contraseña mediante el residuo de energía termal recientemente presionado teclas a la izquierda.
Como manchados por la Computadora de zumbar, científicos de la computación de la Universidad de California, Irvine (UCI), han denominado el ataque Thermanator, y consiste en el uso de una ‘cámara térmica gama media’ explorar las teclas y para detectar el residuo de calor dejó en ellos.
Gene Tsudik, un profesor de la informática en la UCI, se observó que un atacante podría “capturar teclas pulsadas en un teclado normal, hasta que un minuto después de que la víctima entre”. Agregó: “Si escribes tu contraseña y a pie o paso, alguien puede aprender mucho acerca de él después de los hechos.”
Por supuesto, esto no es una proeza trivial para arrancar. El atacante necesita contar con la cámara térmica con una visión clara de las teclas, y hay un límite de tiempo como los fundidos de residuo de calor, como se ha mencionado. Pero si el atacante se mueve rápidamente – es decir, dentro de 15 segundos o menos – izquierda las huellas térmicas son muy fuertes.
Si se disciernen las claves utilizadas para escribir la contraseña, el atacante puede más tarde crunch esta información y participar en un ataque de diccionario (varias veces probando combinaciones) para fuerza bruta el inicio de sesión en cuestión.
Los investigadores corrieron pruebas de laboratorio, y el libro sobre la hazaña que observó: “sistemas enteros de llave-presiona pueden ser recuperados por usuarios no expertos tan tarde como 30 segundos después de la entrada de la contraseña inicial, mientras que los sistemas parciales pueden recuperarse tan tarde como un minuto después de la entrada.”
Los investigadores también encontraron que ‘caza y peck’ (es decir, de dos dedos) mecanógrafos eran más vulnerables a este exploit, como los térmicos rastros que escribir más fuerte.
¿Así que esto es una buena razón para aprender a tocar el tipo? Bueno, con toda honestidad, las probabilidades de que ser golpeado por este tipo de ataque en una situación real son extremadamente escasas, por lo menos ahora – pero señalan el camino a los peligros del futuro.
Misión: posible
Y no es impensable que este tipo de cosas podría suceder en un futuro cercano. Los investigadores señalados: “como menos costosos dispositivos sensores nicho anteriormente, nuevos ataques de canal lateral pasar de ‘ misión: imposible ‘ hacia la realidad. Esto es especialmente cierto teniendo en cuenta la constante disminución de los costos y la creciente disponibilidad de termográficas de alta calidad”.
Si le preocupa, una técnica de mitigación que los investigadores ofrecen es simplemente ejecutar sus manos en el teclado después de una entrada de contraseña en un lugar público. También es una buena idea a no deje nunca su portátil en público, demasiado – pero eso es sólo general seguridad buena práctica.
Hay otras posibles vulnerabilidades aquí aparte de teclados de la PCo portátil, y trucos de imagen térmicas podrían utilizarse para tratar de descubrir los números PIN en cajeros automáticos, por ejemplo.
Además, hay una gama de otras hazañas determinar pulsaciones de teclas y contraseñas, también, como el uso de las vibraciones físicas hizo golpeando las teclas. A futuro, los investigadores sostienen que contraseñas tradicionales deben ser enviados al basurero, a favor de métodos más seguros de autenticación como biométrico.
