Para peneliti di University of Glasgow memiliki diterbitkan makalah yang menyoroti apa yang disebut implementasi ThermoSecure mereka untuk menemukan kata sandi dan PIN. Nama ThermoSecure memberikan petunjuk untuk metodologi yang mendasarinya, karena para peneliti menggunakan campuran teknologi pencitraan termal dan AI untuk mengungkap kata sandi dari perangkat input seperti keyboard, panel sentuh, dan bahkan layar sentuh.
Sebelum melihat teknik dan teknologi yang mendasarinya, ada baiknya menyoroti betapa mengesankannya ThermoSecure untuk mengungkap input kata sandi. Selama pengujian, makalah penelitian menyatakan: “ThermoSecure berhasil menyerang kata sandi 6 simbol, 8 simbol, 12 simbol, dan 16 simbol dengan akurasi rata-rata masing-masing 92%, 80%, 71%, dan 55%.” Selain itu, hasil ini berasal dari bukti yang relatif ‘dingin’, dan makalah tersebut menambahkan bahwa “akurasinya bahkan lebih tinggi [is achieved] ketika gambar termal diambil dalam 30 detik.”
Bagaimana cara kerja ThermoSecure? Sistem membutuhkan kamera termal, yang menjadi barang yang jauh lebih terjangkau dalam beberapa tahun terakhir. Perangkat yang dapat digunakan mungkin hanya berharga $150, menurut makalah penelitian. Di sisi perangkat lunak AI, sistem menggunakan teknik deteksi objek berdasarkan Mask RCNN yang pada dasarnya memetakan gambar (termal) ke kunci. Di tiga fase, variabel seperti lokalisasi keyboard dipertimbangkan, kemudian entri kunci dan deteksi multi-tekan dilakukan, kemudian urutan penekanan tombol ditentukan oleh algoritme. Secara keseluruhan tampaknya bekerja dengan cukup baik, seperti yang disarankan oleh hasilnya.
Pengetik Hunt-and-Peck Menjadi yang Diburu
Dengan serangan termal di atas terlihat opsi yang cukup layak bagi peretas untuk memata-matai kata sandi, PIN, dan sebagainya, apa yang dapat dilakukan untuk mengurangi ancaman ThermoSecure? Kami telah mengumpulkan faktor-faktor utama yang dapat memengaruhi keberhasilan serangan termal.
Faktor masukan: Pengguna bisa lebih aman dengan menggunakan kata sandi yang lebih panjang dan mengetik lebih cepat. “Pengguna yang merupakan juru ketik berburu-dan-mematuk sangat rentan terhadap serangan termal,” catat para peneliti.
Faktor antarmuka: Sifat termodinamika dari bahan perangkat input penting. Jika seorang peretas dapat mencitrakan perangkat input dalam waktu kurang dari 30 detik, itu sangat membantu. Penggemar keyboard mungkin juga akan tertarik untuk mengetahui bahwa keycaps ABS mempertahankan tanda tangan panas sentuh lebih lama daripada keycaps PBT.
Hapus aktivitas: Panas yang dipancarkan dari keyboard dengan lampu latar membantu menyamarkan jejak panas dari interaksi manusia dengan keyboard. Orang yang berhati-hati terkadang dapat menyentuh tombol tanpa mengaktifkannya dan tidak meninggalkan area input setidaknya satu menit setelah mereka memasukkan nama pengguna / kata sandi.
Pergi tanpa kata sandi: Bahkan kata sandi terbaik pun sangat tidak aman dibandingkan dengan metode autentikasi alternatif seperti biometrik.
Singkatnya, akurasi serangan termal ini sangat tinggi, bahkan beberapa saat setelah pengguna menjauh dari keyboard / keypad. Ini mengkhawatirkan tetapi tidak lebih dari teknik pengawasan / skimming lainnya yang sudah tersebar luas. Solusi terbaik untuk jenis metode tebakan kata sandi dan PIN ini tampaknya adalah perpindahan ke biometrik, dan/atau autentikasi dua faktor atau lebih. Mencegah akses tidak sah ke perangkat Anda sejak awal (yaitu tidak meninggalkan laptop atau ponsel Anda tanpa pengawasan), terutama setelah mengetikkan PIN/kata sandi Anda, juga akan membantu menggagalkan penyerang.
