Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Przechwytywanie haseł na podstawie pozostałości termicznych na klawiaturze

08 grudnia 2018, 23:05 | W biegu | komentarzy 19

Zastanawialiście się jak długo temperatura z Waszych palców zostaje na wciśniętych klawiszach klawiatury?. Okazuje się niespodziewanie długo. W czasie 20-30 sekund bez problemu można odczytać wszystkie „wciśnięcia” (i to np. dla hasła: 3xZFkMMv|Y). Graniczną wartością jest około 50-60 sekund.

Wystarczy odpowiednio czuła kamera termowizyjna, trochę wiedzy i pomysłowości (hej, właśnie się zalogowałeś, czas na kawę ;))

Jak się chronić? Używać metalowej klawiatury :-) Zauważyliście, że bankomaty mają właśnie metalowe klawisze?

–ms

 

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Alamakota

    Hasło o długości 25 – 35 znaków wprowadza się na tyle długo a litery się powtarzają, że ta metoda nie będzie skuteczna.

    Odpowiedz
    • A ile osób ma tak długie hasło? Wpisujesz za każdym razem przy odblokwoaniu kompa 35 znaków? Jeśli tak, to jesteś w 0.00001% całej populacji ;)

      Odpowiedz
      • markac

        A ile osób włamuje się że skanerem do domów?

        Odpowiedz
      • Alamakota

        Stosuję metodę zdaniową konstrukcji haseł: imię, przedmiot, kolor, ilość. Hasła są długie ale łatwe do zapamiętania. Udowodniono, że o sile hasła świadczy jego długość a nie złożoność. Przedmiot i znak interpunkcyjny (rozdzielający słowa) są stałe, reszta jest zmienna i tak: tomek,ma,cztery,czerwone,samochody , natomiast nazwa (np. login, nazwa pliku) podpowiada hasło: t4czsa …
        Najbardziej wkurzające jest to jak omsknie się palec na klawiaturze podczas wpisywania tak długiego hasła ;-)

        Odpowiedz
        • Mateusz

          Tylko taka metoda jest wrażliwa na atak słownikowy co też zostało udowodnione – chyba że doda się kilka znaków specjalnych w środku słów i nawet takie 16-20 znakowe hasło jest praktycznie nie do złamania. Jak na moje warto obejrzeć: https://www.youtube.com/watch?v=7U-RbOKanYs i powiązane.

          Odpowiedz
      • Tom

        25-35 może przesada, ale minimum 16 to raczej większość ma (albo powinno mieć)

        Odpowiedz
  2. Mateusz

    Kolejny argument, żeby używać managerów haseł :)

    Odpowiedz
    • Piotr

      Chyba że wpisujesz hasło główne lub odblokowujesz kompa

      Odpowiedz
    • Paweł

      Manager haseł przy wprowadzaniu pinu na terminalu w sklepie? :)

      Odpowiedz
  3. Tomasz21.

    Witam; Z tą klawiaturą metalową, to naprawdę nie wiedziałem. Kto by pomyślał?
    Okazuję się że taki był, co pomyślał. Pozdrawiam.

    Odpowiedz
  4. openworld

    Metalowe klawisze tak samo się zachowują.
    W bankomatach są uzywane ze względu na trwałość.

    Odpowiedz
  5. Monter

    Metalowe klawisze w bankomacie to akurat bardziej kwestia wandalo-odporności i żywotności klawiatury.

    Odpowiedz
    • podejrzewam, że dwa w jednym (piszą o tym w cytowanej w newsie pracy).

      Odpowiedz
    • Piotr

      Myślę, że metalowe klawisze szybciej oddają ciepło bo metal ma większą przewodnią cieplna – szybciej pobiera i oddaje ciepło. To dlatego kawałek metalu wydaje się zimny a kawałek plastiku wydaje się ciepły mimo że mają tą samą temperaturę. Po dotknięciu metal szybko zabiera ciepło co daje wrażenie że jest zimny.

      Odpowiedz
  6. Cyr4x

    A która to cywilizowana klawiatura ma metalowe klawisze? Większość wysokopółkowych klawiatur ma aluminiowy tylko korpus, a klawisze są plastikowe na przełącznikach Cherry MX.

    Odpowiedz
  7. Siema1980

    Moim zdaniem jest prosty sposób aby się przed tym zabezpieczyć, po wklepaniu hasła nawet krótkiego przytrzymać ciepłe ręce na klawiaturze wtedy automatycznie rozgrzewamy wiele klawiszy.

    Odpowiedz
  8. MMM

    Taka metoda łamania haseł ma sens tylko jeżeli nie powtarzasz tej samej litery w haśle.

    Metoda termiczna których klawiszy użyłeś nie powie Ci jak długie hasło masz.

    np haslo masz „abrakadabra”
    na ekranie zobaczysz użyte klawisze abdkr … i co z tym masz niby zrobić, na domiar złego nie wiesz czy nie użyto z którymś klawisza SHIFT.

    … może do łamania pinów to jest OK, ale do niczego poza tym.

    Odpowiedz
    • Observator

      Obliczenia dla podanego przykładu, tak na szybko.
      Normalnie dla 11 znaków przy założeniu małe/duże/cyfry + 10 znaków specjalnych to 72^11 kombinacji. Przy znanych 'abdkr’ (zakładając ewentualny SHIFT) w najgorszym przypadku bez optymalizacji (każda litera musi wystąpić minimum raz itp.) daje to 10^11. stosunek ilości wariacji to 2695612494 raza mniej potencjalnych haseł w przypadku tego ataku. 2.7 miliarda razy szybciej to nie jest 'do niczego’.

      Odpowiedz

Odpowiedz