web-dev-qa-db-fra.com

La saisie du mot de passe enregistrée sur la caméra est-elle une préoccupation réaliste?

Je vis dans une ville où la couverture des caméras de vidéosurveillance est complète et croissante. Les caméras obtiennent une résolution moins chère et plus élevée. Tout le monde a déjà une caméra vidéo dans sa poche, et nous commençons à voirtendances qui indiquent que les caméras toujours allumées peuvent devenir monnaie courante dans d'autres appareils comme les lunettes.

Il m'est venu à l'esprit, en public et en entrant mon nom d'utilisateur/mot de passe dans des applications sur mon téléphone et mon ordinateur portable, que si une caméra pouvait capturer à la fois mon écran et mon clavier, il pourrait être assez simple pour un spectateur de saisir ou de deviner mon les informations d'identification de la séquence en supposant une image suffisamment haute résolution et la vue n'étant pas (trop) obscurcie.

Sans trop entrer dans les détails de la façon dont il serait mis en œuvre, la précision et le coût, etc., j'ai une formation en traitement d'image et je suis également conscient que cela serait probablement automatisable au moins dans une certaine mesure.

J'ai donc pensé demander à la communauté ici si c'était réellement un risque viable? Y en a-t-il déjà eu des exemples connus? Les gens pensent-ils à cela en ce qui concerne la viabilité de l'entrée des informations d'identification en texte brut dans les applications à long terme?

146
davnicwil

Beaucoup d'exemples. Un exemple récent et très médiatisé est lorsque Kanye a été pris en photo saisissant son mot de passe "00000" pour déverrouiller son appareil.

Le surf sur les épaules est l'une des raisons pour lesquelles les applications n'affiche pas le texte du mot de passe à l'écran, mais affiche ****** au lieu.

Et c'est l'une des raisons pour lesquelles l'authentification multifacteur est si importante; même si vous connaissez le mot de passe, vous ne pouvez pas l'utiliser sans autre facteur.

J'ai même vu recherche viable pour capturer le son du clavier lorsqu'un utilisateur tape le mot de passe, même sur le microphone de l'ordinateur .

Donc, oui, vous décrivez un risque viable auquel l'industrie fait face depuis longtemps. Les spécificités des caméras haute résolution ne sont tout simplement pas un facteur suffisamment important à considérer. Le surf sur les épaules et les enregistreurs de frappe sont un risque actuel.

L'industrie sait qu'elle doit développer quelque chose mieux que les mots de passe, et il existe de nombreuses tentatives actives pour le faire, mais rien n'est encore suffisamment mature ou stable.

173
schroeder

Comme autre exemple, voici quelques images de KrebsOnSecurity sur les skimmers ATM (appareils utilisés pour voler les informations d'identification ATM)


Camera 1  Caméra cachée derrière la façade de l'ATM ( source )

Camera 2  Caméra cachée collée au coin de l'ATM ( source )

Camera 3  Caméra cachée sur un faux panneau ATM ( source )


Alors oui, c'est une préoccupation très réelle.

En outre, il a été signalé des cas où des imageurs thermiques ont été utilisés pour extraire un PIN ou mot de passe d'un clavier utilisé pour le saisir - plus la touche est chaude, si le temps de contact avec les doigts est à peu près égal ( la chaleur pénètre dans ...), plus récemment, il a été pressé. Cela pourrait ne pas présenter le mot de passe sur un plateau d'argent en raison de touches en double, de temps de séjour des doigts différents, mais peut extrêmement restreindre les mots de passe possibles.

17
rackandboneman

Quelque chose qui peut aider: Entrez dans l'habbit de "presser" quelques boutons en plus de votre mot de passe.

Disons que votre mot de passe est 1234. Vous pouvez taper 1 et 2, faites semblant d'appuyer, disons 9, puis continuez votre mot de passe.

Il décourage les caméras, l'usure des clés ou les spectateurs. C'est certes de faible qualité, oui, mais cela dissuade les gens qui ont 1000 autres séquences de séquences à parcourir.

14
Kyle

Oui, et c'est l'une des nombreuses raisons pour lesquelles vous ne devez pas entrer de mots de passe, et pour la plupart ne devez même pas connaître vos mots de passe, à l'exception d'un mot de passe principal du gestionnaire de mots de passe et codes de déverrouillage de l'appareil/mots de passe FDE. Pour les phrases de passe FDE, vous devez les saisir uniquement lors de la mise sous tension de l'appareil, et uniquement dans des endroits privés où il n'y a pas de caméras ou d'observateurs.

Je dirais que oui, et l'imagerie haute résolution n'est pas nécessaire. Parlant en tant que statisticien, je n'ai même pas besoin de connaître la lettre ou le chiffre exact que vous avez touché (sur un clavier d'écran ou un clavier normal), réduisant chaque choix à 2 ou 3 caractères possibles, en fonction de la position de vos doigts, fait un deviner électronique de votre mot de passe un problème traitable. Surtout J'essaierais des combinaisons probables de lettres qui forment des fragments Word; par exemple. ([FR] [EW] [DE]) = "FEE", "FED" ou "RED".

Ou si des nombres, je chercherais des combinaisons qui apparaissent dans des nombres liés à vous: anniversaires, anniversaires, pour vous, conjoint, enfants. Votre numéro de téléphone ou votre adresse personnelle.

Sur un écran ou un vrai clavier, je peux voir quand vous changez de caractères spéciaux et devinez ce qu'ils sont. Et parfois, il est clair quelle touche vous touchez, en fonction de l'angle de la caméra, en rétrécissant une position à exactement une touche. La caméra peut réduire considérablement le champ des mots de passe possibles, et souvent dans une analyse qui évalue la correspondance entre les mots de passe et les dates, le "bon" mot de passe peut être en haut de la liste de notation.

Pour cette raison, des phrases acronymes peuvent aider à vaincre cela. L'idée est de mémoriser une phrase qui signifie quelque chose pour vous, comme "Si les Seahawks remportent le championnat, je m'enivrerai et danserai un gabarit." Faites ensuite un acronyme: "ITSWTCIGDADAJ". Vous pouvez vous apprendre à remplacer certaines de ces lettres par des chiffres ou des caractères spéciaux.

Sans connaître la phrase dans votre esprit, les lettres de mot de passe sont aléatoires et non corrélées, donc à moins que l'appareil photo ne sache quelles touches vous frappez exactement, il ne pourra toujours pas deviner la séquence correcte en recherchant des correspondances avec des mots ou des dates réels .