Forscher erraten Passwörter via Wärmebild mit Machine Learning und KI
In einem Versuchsaufbau haben Sicherheitsforscher auf einer Tastatur eingetippte zwölfstellige Passwörter mit einer Erfolgsquote von 82 Prozent rekonstruiert.
Sicherheitsforschern der University of Glasgow ist es unter bestimmten Voraussetzungen über die Auswertung von Wärmebildern gelungen, auf Tastaturen eingetippte Kennwörter mit einer vergleichsweise hohen Erfolgsquote zu rekonstruieren. Dabei spielen aber mehrere Faktoren eine wichtige Rolle. Außerdem haben sie Tipps gegen solche Attacken.
Für akkurate Ergebnisse haben sie einem Bericht zufolge ein Machine-Learning-Modell mit 1500 Wärmebildaufnahmen einer QWERTY-Tastatur aus verschiedenen Winkeln gefüttert. Damit haben sie eine künstliche Intelligenz (KI) trainiert, um aus den Wärmesignaturen Vermutungen über jüngst eingetippte Passwörter anzustellen. Ihren Ansatz haben sie ThermoSecure getauft.
Hohe Erfolgsquote
In ihren Versuchen konnten die Forscher eigenen Angaben zufolge nachweisen, dass die Kennwort-Rekonstruktion in 86 Prozent der Fälle klappt, wenn die Eingabe nicht mehr als 20 Sekunden zurückliegt. Nach 60 Sekunden waren es noch 62 Prozent. Liegt die Eingabe noch länger zurück, sind die Wärmesignaturen für eine erfolgreiche Auswertung zu schwach.
Innerhalb des 20-Sekunden-Zeitfensters soll die Rekonstruktion von 16-stelligen Passwörtern in 67 Prozent der Fälle geklappt haben. Bei 12-stelligen Kennwörtern war das zu 82 Prozent der Fall. Für 6-stellige Passwörter lag die Erfolgsquote sogar bei 100 Prozent.
Der Erfolg hängt aber auch davon ab, wie schnell oder langsam ein potenzielles Opfer tippt und aus welchem Material die Tastatur besteht. So ist die Erfolgsquote mit ABS-Plastik am höchsten.
Gegenmaßnahmen
Die Forscher geben an, dass geeignete Wärmebildkameras für rund 200 Euro zu haben sind. Um das Risiko vor solchen Attacken einzudämmen, raten die Forscher zu langen Passwörtern, die sich schwerer rekonstruieren lassen. Bei der Hardware können beispielsweise Tastaturen mit Hintergrundbeleuchtung hilfreich sein, da diese mehr Hitze produzieren. Außerdem raten sie zu biometrischen Authentifizierungsverfahren wie Gesichtserkennung, um ThermoSecure-Attacken vorzubeugen. In ihrem Paper führen die Forscher ihren Versuchsaufbau weiter aus.
Derartige Versuche gab es bereits in der Vergangenheit. 2019 haben Sicherheitsforscher Passwörter aus kombinierten Daten einer Wärmebildaufnahme und Tonaufnahme der Tippgeräusche erfolgreich erraten.
(des)