Wärmespuren verraten das Passwort
Der Diebstahl von Passwörtern geschieht nicht nur durch Software und Social Engineering – eine Wärmebildkamera kann bereits ausreichen.
(University of California, Irvine)
Laut einer Untersuchung von Wissenschaftlern der University of California reichen die Wärmespuren (Heat Traces) auf handelsüblichen Tastaturen aus, um Passwörter abzugreifen. Nach Einschätzung der Forscher sind besonders leicht Eingaben von Nutzer des Zwei-Finger-Suchsystems auslesbar. Diese ungewöhnliche Methode des Passwortknackens könnte im Bereich Cyber- und Industriespionage zum Tragen kommen.
Eingabe auch 10 Min. nachher noch zu erkennen
„Gerade bei der Passworteingabe lauern unterschätzte Risiken“, sagt Thomas Uhlemann, Security Specialist bei Eset. „Während viele zwar auf den unerwünschten Schulterblick achten, denkt niemand an die eigene Körperwärme – verständlicherweise. Das bietet ein Potenzial für Cyberkriminelle – egal wie stark das Passwort ist.“
Die Forscher filmten die Tastaturen, auf denen 30 Probanden Passwörter eingegeben hatten. Auf den Bildern sind die gedrückten Tasten bis zu einer Minute nach der Eingabe noch zu erkennen. Und selbst Laien gelang es in der nächsten Versuchsstufe, aus diesen Bildern korrekte Eingabesets und Passwortfragmente zu rekonstruieren. Wurde mit zwei Fingern statt mit 10-Finger-Schreibsystem geschrieben, waren die Wärmeabdrücke meist grösser – und damit für potenzielle Angreifer einfacher zu konstruieren.
2-Faktor-Authentifizierung als Lösung
Die Wissenschaftler empfehlen eine Reihe von Gegenmassnahmen, die das Ausspähen des Passworts erheblich erschweren oder unmöglich machen sollen. Beispielsweise sollte mit der Hand über die Tastatur nach Eingabe von sensiblen Informationen gestrichen oder durch willkürliche Eingaben ein „thermisches Rauschen“ erzeugt werden. Weitere Gegenmassnahme sind das Benutzen der Bildschirmtastatur sowie das Tragen von wärmeisolierenden Handschuhen – ein recht unrealistisches Szenario. „Deutlich praktikabler ist der Einsatz von sicheren 2-Faktor-Authentifizierungslösungen. Diese sind komfortabel, einfach in der Bedienung und bieten den maximalen Zugangsschutz“, so Uhlemann weiter.
Mehr über die Studie gegen Passwort-Cracking: www.welivesecurity.com/deutsch/2018/07/13/passwortdiebstahl-heat-traces-tastatur/
Quelle: Eset
