Varmen fra fingrene dine kan avsløre passordet ditt

MacBook Pro

En gruppe forskere argumenterer nå for at passord blir en stadig mer usikker form for autentisering, etter at de har funnet frem til en metode som lar dem avsløre passordet ditt kun ved å registrere varmen du legger igjen på tastene du trykker på.

Forskerne som hører til University of California, Irvine har ifølge Bleeping Computer døpt angrepet Thermanator, og det eneste som kreves er et middels godt varmefølsomt kamera slik at man kan registrere varmen som legges igjen på tastene på tastaturet.

Gene Tsudik som er en av forskerne bak den publiserte forskningsartikkelen, observerte at en angriper kan registrere hvilke taster som er trykket på opptil et minutt etterpå.

– Hvis du taster inn passordet ditt og går bort fra datamaskinen rett etterpå, så har andre gode muligheter til å fange det opp, sier han.

Samtidig skal det sies at dette trikset ikke er helt trivielt å gjennomføre. Angriperen må ha kameraet klart og med god sikt til tastene, og tidsrommet der varmen forblir på tastene er som nevnt begrenset. Er angriperen rask nok og tar et bilde innen 15 sekunder, så er de termiske sporene fortsatt sterke.

Så lenge det er mulig å registrere hvilke taster som er brukt, så kan angriperen senere bruke et ordbokangrip som går ut på å prøve ulike kombinasjoner til man finner det rette passordet.

Forskerne gjorde en rekke laboratorietester, og forskningsartikkelen forteller at hele sett av tastetrykk lett kan registreres opptil 30 sekunder etter at passordet er tastet, mens deler av et sett med tegn kan registreres i opptil et minutt.

Forskerne kom også frem til at folk som taster sakte med bare to fingre er mer utsatt for denne typen angrepet, fordi de legger igjen sterkere varmespor.

Betyr det at du burde lære deg touch-tasting så fort som mulig? Det skal sies at sjansen for å bli utsatt for et slikt angrep er ekstremt liten – i hvert fall inntil videre –men disse forskernes funn peker fremover mot fremtidens utfordringer.

Bilde av et tastatur tatt med varmefølsomt kamera

Ikke utenkelig

Det er imidlertid ikke utenkelig at noe slikt kan skje i fremtiden, og forskerne påpeker at varmefølsomme kameraer som tidligere var dyre nå har blitt mye rimeligere og mer tilgjengelige. Dermed har denne typen angrep beveget seg fra å virke som de er hentet fra en «Mission: Impossible»-film, til å ligge mye nærmere virkeligheten.

Hvis du er bekymret for å bli utsatt for dette når du skal bruke en datamaskin på et offentlig sted, så har forskerne også et enkelt tips til deg – bare stryk hånden over tastene etter at du har skrevet inn passordet ditt. Det er også lurt å aldri la datamaskinen din ligge for seg selv på offentlige steder, men det er bare snakk om sunn fornuft generelt.

Teknikken kan også brukes i andre sammenhenger enn med bærbare PC-er og tastaturer, og en mulighet er for eksempel å forsøke å registrere PIN-nummer i minibanker.

Ikke minst finnes det også en rekke andre teknikker som kan brukes for å fange opp passord, og et eksempel er å analysere vibrasjonene som oppstår når tastene trykkes ned.

Derfor argumenterer forskerne for at tradisjonelle passord bør henvises til den historiske skraphaugen, til fordel for tryggere autentiseringsmetoder som biometri.