Säkerhet
Hackarnas nya vapen? Värmeattacker knäcker ditt lösenord
Det finns många olika sätt att försöka knäcka lösenord på. Den här forskargruppen använder sig av värmespårning och ai – och det fungerar i upp till 100 procent av fallen.
Publicerad
Forskare vid University of Glasgow hävdar att de har utvecklat ett nytt ai-baserat system (Thermosecure) som enkelt kan lista ut ditt lösenord. Det gör den genom att undersöka värmespår du lämnar på tangentbordet eller mobilskärmen.
Forskarna gör detta för att påvisa framtida it-säkerhetsrisker.
– Värmekameror är billigare än någonsin. De kan köpas för mindre än 200 pund – och maskininlärning blir också mer tillgänglig. Det gör det mycket troligt att människor runt om i världen utvecklar system på liknande sätt som Thermosecure för att stjäla lösenord, säger Mohamed Khamis, som varit med och utvecklat systemet till Zdnet.
Experimentet gick till så att forskarna riktade en värmekamera som undersökte tangentbord, mobiltelefoner och skärmar. På så sätt kunde kameran ta bilder som avslöjar värmespår från användarens fingrar. Områden med ljusast fläckar på bilden signalerar att det är ytor som berörts senast. Genom detta kan en kortare pinkod knäckas relativt enkelt – även utan ai, det har universitet visat tidigare. Nu när ai har kopplats på ligger även mer avancerade lösenord pyrt till.
Klart på bara några sekunder
Om en bild togs inom 20 sekunder efter att användare skrivit sitt lösenord kunde systemet knäcka det i 86 procent av fallen. Om bilden togs efter 30 sekunder kunde 76 procent av lösenorden knäckas. Efter upp till 1 minut? Då rök 62 procent av lösenorden.
Längre lösenord försvårade processen för Thermosecure – men det gick oftast till slut. Om ett lösenord var 16 tecken långt löstes två tredjedelar av fallen. Med kortare lösenord blev framgångsration bättre. 83 procent av lösenorden som var 12 tecken långa knäcktes. Var de bara åtta tecken långa, gissade Thermosecure rätt i 93 procent av fallen. 100 procent nåddes när lösenorden var på sex tecken. Vilket gör pinkoder meningslösa.
En illvillig hackare som använder sig av den här tekniken behöver så klart komma åt den fysiska enheten. Men känner hackaren även till ditt användarnamn, mejl eller liknande kan den även försöka hacka dina molnbaserade konton på håll. Fenomenten samma lösenord på flera plattformar existerar trots allt.
