正在閱讀:

ATM和POS機(jī)輸入密碼還安全嗎?AI盜竊只需20秒

掃一掃下載界面新聞APP

ATM和POS機(jī)輸入密碼還安全嗎?AI盜竊只需20秒

熱成像通過讀取鍵盤上的熱殘留竊取密碼。20秒內(nèi),86%的密碼都能被破解,30秒內(nèi)的破解成功率76%,60秒后成功率62%。

文|支付百科  里奧

隨著熱成像技術(shù)的廣泛應(yīng)用,在網(wǎng)上買一個(gè)熱感攝像機(jī)也不過幾千塊錢?!盁峁簟彪S之成為科學(xué)家研究的對(duì)象。

最近,英國(guó)格拉斯哥大學(xué)的研究人員就發(fā)現(xiàn),你的手機(jī)、鍵盤,甚至是在POS機(jī)、ATM上的各種操作都有可能泄露你的密碼,泄露原因就是留在屏幕上的熱量。

這種熱感攝像機(jī)的成像層次是根據(jù)物體的溫度變化而變化的,溫度越高的物體越亮,反之越暗。也就是說(shuō),越亮的地方就被觸摸的時(shí)間也就越近。

01、密碼破解率極高

其實(shí),各國(guó)對(duì)“熱攻擊”的研究一直都有。早在2016年,國(guó)內(nèi)就有研究者就曾通過熱成像技術(shù)測(cè)試過密碼泄露問題。

當(dāng)時(shí),測(cè)試者通過可插手機(jī)的小型熱感攝像機(jī)進(jìn)行測(cè)試,選擇的測(cè)試對(duì)象包括POS機(jī)、ATM機(jī)和電腦鍵盤。

測(cè)試發(fā)現(xiàn),POS機(jī)和鍵盤都留下了明顯的熱信息,而ATM機(jī)的鍵盤由于是金屬材質(zhì)導(dǎo)熱性比較好,并未留下明顯的熱信息,相對(duì)安全。

由于當(dāng)時(shí)設(shè)備還沒那么先進(jìn),也只能通過顏色辨別密碼由哪些數(shù)字組成,ATM機(jī)甚至都沒有留下熱信息。

研究人員對(duì)于“熱攻擊”的研究從未停止。正如蘇格蘭大學(xué)計(jì)算科學(xué)學(xué)院Mohamed Khamis所說(shuō):“你需要像小偷一樣思考,才能抓住小偷”。為了避免此類安全事件發(fā)生,研究人員更應(yīng)走在攻擊者前面。

美國(guó)加州大學(xué)相關(guān)研究人員也做過類似研究,研究人員讓31個(gè)人在4種不同的鍵盤上輸入密碼,然后讓另外8個(gè)非專業(yè)人士從熱成像記錄數(shù)據(jù)中推導(dǎo)出按鍵組合。

結(jié)果表明,根據(jù)輸入密碼后30秒內(nèi)記錄的熱成像數(shù)據(jù),即使非專業(yè)攻擊者也能很容易地還原正確的密碼。在輸入密碼后1分鐘內(nèi)記錄的熱成像數(shù)據(jù),也能讓攻擊者還原部分正確的密碼。

而此次英國(guó)格拉斯哥大學(xué)的研究者開發(fā)出名為ThermoSecure的人工智能系統(tǒng),不僅可以拍到熱圖像組,而且破解密碼的效率更是驚人。

該系統(tǒng)可以通過測(cè)量溫暖地區(qū)的相對(duì)強(qiáng)度,確定構(gòu)成密碼的具體字母和符號(hào)的數(shù)量,并估計(jì)它們的使用順序。

研究報(bào)告顯示,只要在用戶輸入密碼后20秒內(nèi)拍攝熱圖像,通過系統(tǒng)檢測(cè),86%的密碼都能被破解,30秒內(nèi)的破解成功率達(dá)到76%,60秒后成功率也有62%。

研究人員又試圖在一定的時(shí)間內(nèi)通過改變密碼長(zhǎng)度來(lái)驗(yàn)證破解率。發(fā)現(xiàn)在20秒內(nèi),系統(tǒng)甚至能夠成功攻擊16個(gè)字符的長(zhǎng)密碼,并且破解成功率高達(dá)67%。隨著密碼變短,成功率也會(huì)相應(yīng)增加。12字符密碼的成功率達(dá)到82%,8字符密碼為93%,6字符密碼更是高達(dá)100%。

這真的是讓人后背發(fā)涼,自己銀行卡6位密碼、手機(jī)PIN碼、鎖屏碼在這系統(tǒng)面前真的不值一提啊,還有家里大門的密碼鎖……

02、如何預(yù)防?

其實(shí),日常生活中的熱感攝像機(jī)相較于研究人員使用的AL系統(tǒng)還是有很大差距的。當(dāng)然,未來(lái)也不乏會(huì)有類似案例出現(xiàn),所以,我們?nèi)粘V凶⒁獾木褪亲约簩?duì)密碼的保護(hù)。

比如設(shè)置更長(zhǎng)更復(fù)雜的密碼,使密碼破解率降低。

另外,制造鍵盤的材料類型也會(huì)影響它們吸收熱量的能力,像ATM機(jī)鍵盤的金屬材料導(dǎo)熱性好,熱量留存就少。有些塑料比其他塑料更容易保持熱量模式。還可以使用背光鍵盤,因?yàn)檫@種鍵盤本身就會(huì)產(chǎn)生更多的熱量,使準(zhǔn)確熱讀數(shù)相對(duì)困難一些。

目前,密碼也不是唯一的驗(yàn)證方法。指紋或面部識(shí)別甚至掌紋都應(yīng)運(yùn)而出,這些方式也有效降低了被熱攻擊的風(fēng)險(xiǎn)。

當(dāng)然,無(wú)論哪種方法都不能說(shuō)是一定安全的。計(jì)算機(jī)安全研究一定要跟上這些發(fā)展的步伐,才能找到降低風(fēng)險(xiǎn)的新方法。

本文為轉(zhuǎn)載內(nèi)容,授權(quán)事宜請(qǐng)聯(lián)系原著作權(quán)人。

評(píng)論

暫無(wú)評(píng)論哦,快來(lái)評(píng)價(jià)一下吧!

下載界面新聞

微信公眾號(hào)

微博

ATM和POS機(jī)輸入密碼還安全嗎?AI盜竊只需20秒

熱成像通過讀取鍵盤上的熱殘留竊取密碼。20秒內(nèi),86%的密碼都能被破解,30秒內(nèi)的破解成功率76%,60秒后成功率62%。

文|支付百科  里奧

隨著熱成像技術(shù)的廣泛應(yīng)用,在網(wǎng)上買一個(gè)熱感攝像機(jī)也不過幾千塊錢?!盁峁簟彪S之成為科學(xué)家研究的對(duì)象。

最近,英國(guó)格拉斯哥大學(xué)的研究人員就發(fā)現(xiàn),你的手機(jī)、鍵盤,甚至是在POS機(jī)、ATM上的各種操作都有可能泄露你的密碼,泄露原因就是留在屏幕上的熱量。

這種熱感攝像機(jī)的成像層次是根據(jù)物體的溫度變化而變化的,溫度越高的物體越亮,反之越暗。也就是說(shuō),越亮的地方就被觸摸的時(shí)間也就越近。

01、密碼破解率極高

其實(shí),各國(guó)對(duì)“熱攻擊”的研究一直都有。早在2016年,國(guó)內(nèi)就有研究者就曾通過熱成像技術(shù)測(cè)試過密碼泄露問題。

當(dāng)時(shí),測(cè)試者通過可插手機(jī)的小型熱感攝像機(jī)進(jìn)行測(cè)試,選擇的測(cè)試對(duì)象包括POS機(jī)、ATM機(jī)和電腦鍵盤。

測(cè)試發(fā)現(xiàn),POS機(jī)和鍵盤都留下了明顯的熱信息,而ATM機(jī)的鍵盤由于是金屬材質(zhì)導(dǎo)熱性比較好,并未留下明顯的熱信息,相對(duì)安全。

由于當(dāng)時(shí)設(shè)備還沒那么先進(jìn),也只能通過顏色辨別密碼由哪些數(shù)字組成,ATM機(jī)甚至都沒有留下熱信息。

研究人員對(duì)于“熱攻擊”的研究從未停止。正如蘇格蘭大學(xué)計(jì)算科學(xué)學(xué)院Mohamed Khamis所說(shuō):“你需要像小偷一樣思考,才能抓住小偷”。為了避免此類安全事件發(fā)生,研究人員更應(yīng)走在攻擊者前面。

美國(guó)加州大學(xué)相關(guān)研究人員也做過類似研究,研究人員讓31個(gè)人在4種不同的鍵盤上輸入密碼,然后讓另外8個(gè)非專業(yè)人士從熱成像記錄數(shù)據(jù)中推導(dǎo)出按鍵組合。

結(jié)果表明,根據(jù)輸入密碼后30秒內(nèi)記錄的熱成像數(shù)據(jù),即使非專業(yè)攻擊者也能很容易地還原正確的密碼。在輸入密碼后1分鐘內(nèi)記錄的熱成像數(shù)據(jù),也能讓攻擊者還原部分正確的密碼。

而此次英國(guó)格拉斯哥大學(xué)的研究者開發(fā)出名為ThermoSecure的人工智能系統(tǒng),不僅可以拍到熱圖像組,而且破解密碼的效率更是驚人。

該系統(tǒng)可以通過測(cè)量溫暖地區(qū)的相對(duì)強(qiáng)度,確定構(gòu)成密碼的具體字母和符號(hào)的數(shù)量,并估計(jì)它們的使用順序。

研究報(bào)告顯示,只要在用戶輸入密碼后20秒內(nèi)拍攝熱圖像,通過系統(tǒng)檢測(cè),86%的密碼都能被破解,30秒內(nèi)的破解成功率達(dá)到76%,60秒后成功率也有62%。

研究人員又試圖在一定的時(shí)間內(nèi)通過改變密碼長(zhǎng)度來(lái)驗(yàn)證破解率。發(fā)現(xiàn)在20秒內(nèi),系統(tǒng)甚至能夠成功攻擊16個(gè)字符的長(zhǎng)密碼,并且破解成功率高達(dá)67%。隨著密碼變短,成功率也會(huì)相應(yīng)增加。12字符密碼的成功率達(dá)到82%,8字符密碼為93%,6字符密碼更是高達(dá)100%。

這真的是讓人后背發(fā)涼,自己銀行卡6位密碼、手機(jī)PIN碼、鎖屏碼在這系統(tǒng)面前真的不值一提啊,還有家里大門的密碼鎖……

02、如何預(yù)防?

其實(shí),日常生活中的熱感攝像機(jī)相較于研究人員使用的AL系統(tǒng)還是有很大差距的。當(dāng)然,未來(lái)也不乏會(huì)有類似案例出現(xiàn),所以,我們?nèi)粘V凶⒁獾木褪亲约簩?duì)密碼的保護(hù)。

比如設(shè)置更長(zhǎng)更復(fù)雜的密碼,使密碼破解率降低。

另外,制造鍵盤的材料類型也會(huì)影響它們吸收熱量的能力,像ATM機(jī)鍵盤的金屬材料導(dǎo)熱性好,熱量留存就少。有些塑料比其他塑料更容易保持熱量模式。還可以使用背光鍵盤,因?yàn)檫@種鍵盤本身就會(huì)產(chǎn)生更多的熱量,使準(zhǔn)確熱讀數(shù)相對(duì)困難一些。

目前,密碼也不是唯一的驗(yàn)證方法。指紋或面部識(shí)別甚至掌紋都應(yīng)運(yùn)而出,這些方式也有效降低了被熱攻擊的風(fēng)險(xiǎn)。

當(dāng)然,無(wú)論哪種方法都不能說(shuō)是一定安全的。計(jì)算機(jī)安全研究一定要跟上這些發(fā)展的步伐,才能找到降低風(fēng)險(xiǎn)的新方法。

本文為轉(zhuǎn)載內(nèi)容,授權(quán)事宜請(qǐng)聯(lián)系原著作權(quán)人。