Wachtwoorden kraken met een warmtebeeldcamera

Wachtwoorddiefstal gebeurt niet alleen door software en social engineering – ook een warmtebeeldcamera kan genoeg zijn. Dit is nu gebleken uit een studie van wetenschappers van de Universiteit van Californië. IR-camera’s worden steeds goedkoper en dus steeds interessanter voor industriële spionnen.

Volgens de studie “Thermanator: Thermal Residue-Based Post Factum Attacks On Keyboard Password Entry” van wetenschappers van de Universiteit van Californië zijn de warmtesporen op in de handel verkrijgbare toetsenborden voldoende om wachtwoorden te stelen. Volgens de onderzoekers zijn de inzendingen van gebruikers van het twee-vinger-zoeksysteem bijzonder gemakkelijk te lezen. Deze ongebruikelijke methode om wachtwoorden te kraken zou een rol kunnen gaan spelen op het gebied van cyber- en bedrijfsspionage.

“Onderschatte risico’s liggen vooral op de loer bij het invoeren van wachtwoorden”, zegt Thomas Uhlemann, beveiligingsspecialist bij ESET. “Terwijl velen aandacht besteden aan de ongewenste schouderophaal, denkt niemand aan zijn eigen lichaamswarmte – begrijpelijk. Dit biedt mogelijkheden voor cybercriminelen – hoe sterk het wachtwoord ook is.”

Het warmtebeeld van het woord

De onderzoekers filmden de toetsenborden waarop 30 proefpersonen wachtwoorden hadden ingevoerd. Op de foto’s kunnen de ingedrukte toetsen nog tot een minuut na de invoer worden herkend. En zelfs leken waren in staat om in de volgende fase van het experiment correcte invoerreeksen en wachtwoordfragmenten uit deze beelden te reconstrueren. Als er twee vingers werden gebruikt in plaats van het 10-vingerige schrijfsysteem, waren de thermische afdrukken meestal groter – en dus gemakkelijker te maken door potentiële aanvallers.

De wetenschappers bevelen een reeks tegenmaatregelen aan om het spioneren van wachtwoorden aanzienlijk moeilijker of onmogelijk te maken. Zo moet bijvoorbeeld de hand over het toetsenbord worden geveegd nadat gevoelige informatie is ingevoerd, of moet een “thermische ruis” worden gecreëerd door willekeurige invoer. Andere mogelijke tegenmaatregelen zijn het gebruik van het schermtoetsenbord en het dragen van warmte-isolerende handschoenen – een nogal onrealistisch scenario. “Veel praktischer is het gebruik van veilige 2-factor authenticatie (2FA) oplossingen, zoals ESET Secure Authentication. Deze zijn handig, gemakkelijk te gebruiken en bieden de maximale toegangsbescherming,” vervolgt Uhlemann.