web-dev-qa-db-fra.com

Est-il possible d'améliorer la devinette d'un mot de passe par force brute avec une image du clavier utilisé pour le saisir?

Est-ce une mauvaise idée de publier une photo de votre clavier sur les réseaux sociaux?

Puis-je regarder une photo d'un clavier et déterminer le mot de passe d'un compte?

En supposant qu'un certain (ensemble de) mot de passe (s) est la séquence de caractères la plus couramment saisie sur un clavier donné:

  • La résolution sur la photo de ce clavier est-elle suffisante pour déterminer le jeu de touches le plus fréquemment utilisé, en analysant les motifs de la graisse dessus?

  • Si je connais les clés les plus utilisées, une attaque par force brute est-elle désormais possible, car je peux limiter la taille du dictionnaire?

Cette question est inspirée d'une fois où j'ai vu une porte protégée par un pavé numérique, où la peinture manquait sur trois des touches. Le numéro de la chambre était composé de trois chiffres, dont aucun n'avait Paint sur leurs clés respectives. Sans surprise, la combinaison était le numéro de chambre inversé.

passwordsbrute-forcephysicalsocial-engineeringdictionary
36
formicophobia

Dans certains cas, oui, vous pouvez deviner les touches les plus fréquemment utilisées par les marques d'usure. C'est ainsi que je sais qu'apparemment j'utilise beaucoup les touches L, M, N, A et E - les touches sont maintenant juste noires, la lettre est fanée.

Et une clé spéciale étant beaucoup plus utilisée que les autres - à moins que ce ne soit "{", "}" ou ";" et vous vous trouvez être un programmeur - pourrait permettre d'inclure cela dans un bruteforcing, ou d'exclure d'autres (ce n'est certainement PAS mon clavier, mais quand même):

dirty keyboard - not mine!

Mais la plupart des gens n'utilisent pas le clavier uniquement pour leurs mots de passe, et le motif d'usure est également influencé par la direction, l'angle et la pression du trait - les touches plus bas du clavier seront pressées différemment de celles les plus proches. Les touches que je porte plus rapidement semblent être exactement sous la main qui les contrôle, et maintenant que j'ai remarqué, je les frappe plus fort que les autres (OK, je suis aussi une horrible dactylo).

Le clavier pourrait indiquer (faiblement, à cela) ce que pourrait être le mot tapé le plus fréquent, ou des anagrammes de celui-ci. Mais ce n'est pas la même chose que votre mot de passe sauf dans des cas très spécifiques (par exemple un clavier d'entrée).

Dans des cas encore plus spécifiques tels que le clavier d'entrée conducteur de chaleur, la FIR ou une image UV forte prise immédiatement après la frappe afin que la chaleur résiduelle ou la fluorescence ou les interférences de phase des huiles cutanées puissent être appréciées, vous pourriez être en mesure d'obtenir quelque chose. Mais une image ordinaire ne transmet pas de telles informations.

Mon opinion serait donc que les images du clavier sont pour la plupart inoffensives.

D'un autre côté, je vois parfois Post-It avec des lettres et des chiffres attachés à des moniteurs et sur des planches de bois derrière des personnes égoïstes, donc je dirais aussi que c'est toujours une très bonne idée de revoir les photos (ainsi que quoi que ce soit d'autre) que vous publiez sur les médias sociaux, en regardant les marchandises avec l'œil d'un attaquant:

  • vue intérieure des serrures (cassées/défectueuses/endommagées?) et/ou des noms de marque utiles aux recherches
  • des conseils sur l'emplacement (cela peut être utile pour déterminer si vous partez en vacances à l'étranger et estimer combien de temps votre maison sera vacante)
  • objets de valeur (peuvent donner aux gens des idées sur eux ou sur votre richesse, ce qui aussi pourrait donner des idées aux gens)
  • des écarts entre ce qui est montré et ce que vous avez dit à quiconque pourrait apprendre à le savoir, tel que l'employeur, compagnie d'assurance , autre (s) significatif (s), etc.

Au moins une fois, quelques mois après la publication de cette réponse, le dernier cas s'est effectivement produit .

51
LSerni

Il existe deux scénarios différents. Ce serait une question valable si le clavier est utilisé uniquement pour la saisie de mot de passe. Un pavé numérique sur une porte, c'est quelque chose que vous ne devriez pas publier sur les réseaux sociaux. Mais vous pouvez contester cela en disant qu'il y a des caractères spéciaux sur votre clavier qui peuvent être inclus dans vos informations d'identification, car normalement nous n'utilisons pas ces caractères beaucoup dans le travail quotidien. Donc, vous feriez mieux de jeter un œil à votre clavier avant de publier des photos sur les réseaux sociaux :)

18
Dilan

Uniquement si le seul but du clavier est de taper un mot de passe.

Sinon, vous constaterez que les touches les plus fréquemment utilisées telles que les voyelles, le WASD et les modificateurs auront également des taches d'huile et des signes d'usure. Cela devient particulièrement difficile si le mot de passe est une phrase secrète contenant un langage naturel.

6
user72066

La plus grande différence est dans l'échelle. Un clavier sur une serrure n'est généralement utilisé que pour taper le mot de passe, de sorte que les clés de mot de passe sont les seules utilisées et portées. "N'importe quel clavier" est généralement utilisé pour beaucoup plus que pour taper uniquement des mots de passe.

De nombreuses autres attaques sont utilisées sur les claviers: les caméras vidéo vous regardent entrer dans votre épingle, la détection de chaleur (flir), ou même l'utilisation de poudre d'empreinte digitale pour voir les touches les plus utilisées. (Merci Brian Brushwood)

Je lutte contre cela en utilisant mes trois premiers doigts pour couvrir toute la ligne de chiffres, et je passe en revue et touche chaque touche, peu importe si elle est dans le combo.

3
Stephen Spencer

Vous devez clarifier le terme "clavier". Si vous prenez une photo de mon clavier, j'écris ce texte. Vous remarquerez sûrement certains modèles et lettres manquantes de ma frappe. Mais sachez que la plupart du temps, ces claviers ne sont pas du tout utilisés pour saisir des mots de passe. En règle générale, vous obtenez plutôt une carte thermique des caractères fréquemment utilisés pour un certain langage naturel. Par exemple. mon ace et n ne sont plus visibles.

J'ai pensé à mes mots de passe. Lorsque j'utilise le langage naturel pour y former des mots complexes, j'ai bien sûr tendance à utiliser les caractères les plus courants pour ma langue. Lorsque j'utilise ou suis obligé d'utiliser des caractères spéciaux, etc., ils ne sont guère utilisés dans d'autres scénarios.

Maintenant, puisque vous parlez de claviers de sécurité, dont le but est d'entrer un mot de passe, la réponse est "peut-être". Si de nombreuses personnes utilisent un seul mot de passe partout, alors bien sûr, les modèles seront visibles au fil du temps et il devrait être possible de créer des permutations des chiffres ou des caractères utilisés. Cependant, si de nombreuses personnes utilisent des mots de passe différents sur ce clavier, vous ne verrez à nouveau que les schémas des chiffres ou des caractères fréquemment utilisés.

Cela réduira l'espace de recherche, mais peut ne pas être suffisant pour obtenir réellement le mot de passe car il peut y avoir d'autres moyens de protection, par exemple verrouiller le verrou après n tentatives infructueuses.

2
Samuel

Je pense qu'il serait possible de réduire quelque peu considérablement l'ensemble de recherche, mais cela dépend en grande partie de la résolution de l'image et de l'état usé du clavier. Avec un clavier visiblement usé ou sale (la saleté sur le bord des touches pourrait servir le même but), vous établiriez d'abord l'alphabet possible, avec chaque touche pondérée à 1,0. Ensuite, établissez une base de référence. Analysez BEAUCOUP de photos de claviers pour lesquels vous connaissez déjà le mot de passe et pondérez les clés les plus utilisées au niveau mondial pour une culture spécifique inférieure aux autres. Ce processus réduira le poids des voyelles par exemple. Réduisez ensuite l'alphabet en supprimant les clés les moins utilisées (puisqu'un mot de passe est susceptible d'être tapé assez souvent) et préparez un dictionnaire avec les clés qui vous restent.

Tout cela est assez inutile cependant, il existe des moyens beaucoup plus faciles de pirater quelqu'un que de forcer brutalement son mot de passe. Tant que vous utilisez un mot de passe relativement long (8+ caractères) et que vous incluez des symboles, des majuscules et des minuscules et des chiffres, il y a très peu de chances que quelqu'un obtienne votre mot de passe en le renforçant brutalement.

1
Drunken Code Monkey

En ce qui concerne les claviers, je considérerais cela comme une préoccupation mineure à moins que j'utilise le même mot de passe pour tout. Si vous utilisez un mot de passe différent pour tout et que vous les modifiez raisonnablement régulièrement, tout va bien. Ajoutez cela au fait que si vous utilisez le clavier pour d'autres choses, vous obtiendrez un modèle d'usure très différent de celui de PASWORD étant porté, vous n'avez probablement pas grand-chose à craindre.

Si comme moi, vous êtes un joueur FPS passionné (et contrairement à moi, vous avez un mot de passe pour tout) au moment où l'usure est visible sur les clés de mot de passe, vos clés WSAD vont également être portées, vous êtes probablement D'accord.

Cela dit, changez régulièrement vos mots de passe et utilisez un générateur aléatoire pour créer mots de passe aléatoires mémorisables . Dice PassPhrase Generator est un bon point de départ. Avec un peu de magie Excel, vous pouvez créer votre propre générateur de mot de passe basé sur ces principes et mots de passe aléatoires pré-mémorisables.

0
Miller86