Исследователи из Университета Глазго разработали ИИ-систему ThermoSecure, которая анализирует следы тепла на клавиатуре от кончиков пальцев и угадывает пароли. Об этом пишет Techxplore.
По словам ученых, в течение 30-60 секунд после взаимодействия с кнопками на них остаются следы, которые может зафиксировать дешевая тепловизионная камера. Чем ярче область на изображении, тем раньше к ней прикасались.
Изображение клавиатуры, снятое тепловой камерой. Данные: Университет Глазго.
Измеряя интенсивность теплых следов, можно узнать конкретные буквы, цифры или символы, из которых состоит пароль, а также определить их порядок. С помощью этой информации злоумышленники могут подобрать правильную комбинацию.
Руководитель исследования Мохамед Хамис рассказал, что в предыдущей работе неспециалисты успешно угадывали пароли, внимательно изучая тепловые изображения. Теперь ученый и его команда задействовали машинное обучение для улучшения точности атаки.
Для этого они сделали 1500 тепловизионных фотографий недавно использованных клавиатур QWERTY под разными углами. Затем они обучили алгоритм читать изображения и делать обоснованные предположения о паролях из подсказок сигнатур, используя вероятностную модель.
В ходе двух пользовательских исследований они обнаружили, что ThermoSecure способна раскрыть 86% и 76% паролей, если тепловизионное изображение было сделано в течение 20 и 30 секунд соответственно. Спустя минуту после взаимодействия с клавиатурой точность алгоритма снизилась до 62%.
Ученые также обнаружили, что в течение 20 секунд ThermoSecure способен успешно угадывать даже длинные пароли из 16 символов в 67% случаев. По мере уменьшения кодов доступа точность распознавания увеличивалась: 12-символьные — до 82%, восьмисимвольные — до 93%, а шестисимвольные — до 100%.
Также исследователи изучили дополнительные переменные, упрощающие подбор паролей для ThermoSecure. Одной из них стал стиль набора текста.
Ученые выяснили, что алгоритм хуже справляется с распознаванием паролей пользователей, печатающих вслепую. Менее опытные, как правило, дольше задерживают пальцы на клавишах, из-за чего она лучше сохраняет тепло.
На успех распознавания влияет и материал, из которого изготовлена клавиатура, утверждают специалисты.
По словам Хамиса, доступность тепловизионных камер и моделей машинного обучения позволят любому повторить подобную атаку.
«Важно, чтобы исследования в области компьютерной безопасности шли в ногу с этими разработками для поиска новых способов снижения рисков [взлома]», — заявил ученый.
Хамис добавил, что их команда также работает над рекомендациями для предотвращения подобных атак. Одним из вариантов он назвал запрет на продажу тепловизионных камер без дополнительной защиты на стороне программного обеспечения.
«В настоящее время мы разрабатываем систему противодействия на основе ИИ, которая могла бы помочь решить эту проблему», — добавил Хамис.
Ученые порекомендовали пользователям устанавливать длинные пароли, а также включить дополнительные способы аутентификации вроде отпечатков пальцев или распознавания лиц.
Напомним, в октябре 2021 года исследователи научили ИИ определять по видео вводимый в банкомат PIN-код.
Подписывайтесь на новости ForkLog в Telegram: ForkLog AI — все новости из мира ИИ!
