web-dev-qa-db-ja.com

パスワードのブルートフォース推測を、パスワードの入力に使用するキーボードの画像で改善することは可能ですか?

キーボードの写真をソーシャルメディアに投稿することは悪い考えですか?

キーボードの写真を見て、アカウントのパスワードを確認できますか?

特定の(一連の)パスワードが、特定のキーボードで最も一般的に入力される文字シーケンスであると想定します。

  • そのキーボードの写真の解像度は、それらのグリースパターンを分析することにより、最も頻繁に使用されるキーのセットを特定するのに十分ですか?

  • 最も頻繁に使用されるキーを知っている場合、辞書のサイズを制限できるため、ブルートフォース攻撃は今実行可能ですか?

この質問は、テンキーで保護されたドアを見て、ペイントが3つのキーに欠けていたときから発想を得ています。部屋番号は3桁で、どれもそれぞれのキーにペイントがありませんでした。当然のことながら、組み合わせは部屋番号を逆にしたものでした。

36
formicophobia

一部のケースでは、はい、最も頻繁に使用されるキーを摩耗マークで推測できます。そのようにして、どうやらL、M、N、A、Eのキーを頻繁に使用していることがわかります。キーは黒くなり、文字は薄くなっています。

そして、「{」、「}」、または「;」でない限り、1つの特別なキーが他のキーよりも大幅に使用されています。そしてあなたはたまたまプログラマーです-それを総当たりに含めることを許可するか、他のものを除外することができます(これは間違いなく私のキーボードではありませんが、それでも):

dirty keyboard - not mine!

しかし、ほとんどの人はパスワードだけでキーボードを使用することはありません。摩耗パターンは、ストロークの方向、角度、圧力にも影響されます。キーボードのより下のキーは、近くのキーとは異なる方法で押されます。私がより速く身に着けているキーは、それらを制御する手の真下にあるように見え、今気付いたので、他のキーよりも強く叩きました(OK、私は恐ろしいタイピストでもあります)。

キーボードは、最も頻繁に入力された単語またはそのアナグラムが何であるかを(弱く、それで)示唆するかもしれません。しかし、非常に特殊な場合(たとえば、入力キーパッド)を除いて、passwordと同じではありません。

熱伝導エントリキーパッド、FIR、または強いUV画像など、入力直後に撮影された特定のケースでは、皮膚油による残留熱、蛍光、または位相干渉が認識されるため、何かを取得できる場合があります。しかし、普通の絵はそのような情報を伝えません。

だから私の意見では、キーボードの写真はほとんど無害だと思います。

一方、Post-Itには、モニターや、自撮りした人の後ろにあるウッドボードに文字と数字が添付されていることがあります。そのため、は常に非常に良い方法だと思います。 reviewソーシャルメディアに投稿した写真(およびその他)は、攻撃者の目で商品を確認します。

  • アプローチの調査に役立つ(壊れている/欠陥がある/壊れている?)ロックおよび/またはブランド名の内面図
  • 場所に関するヒント(これは、あなたが海外で休暇を取っているかどうかを判断し、あなたの家が空いている期間を推定するために関連しているかもしれません)
  • 貴重なアイテム(人々について、またはあなたの富についてのアイデアを人々に与える可能性があり、も人々のアイデアを与えることができる)
  • 表示されている内容とあなたが知っている可能性のある誰かに言った内容の不一致(雇用主、 保険会社 、その他の重要なものなど).

この回答が投稿されてから数か月後に少なくとも1回、最後のケース 実際に発生した

51
LSerni

2つの異なるシナリオがあります。キーボードがパスワード入力にのみ使用されている場合、これは有効な質問です。ドアのテンキー。ソーシャルメディアに投稿するべきではありません。ただし、通常は日常業務でこれらの文字をあまり使用しないため、資格情報に含まれる可能性があるキーボード上の特殊文字があると言うことで、これを主張できます。ソーシャルメディアに写真を投稿する前に、キーボードを確認することをお勧めします:)

18
Dilan

キーボードの唯一の目的が1つのパスワードを入力することである場合のみ。

それ以外の場合は、母音、WASD、修飾子などのより頻繁に使用されるキーにも油汚れや摩耗の兆候があることがわかります。パスワードが自然言語を含むパスフレーズである場合は特に難しくなります。

6
user72066

最大の違いは規模です。ロックのキーパッドは、通常、パスワードの入力にのみ使用されるため、パスワードキーだけが使用され、着用されます。 「任意のキーボード」は、通常、パスワードを入力するだけではなく、はるかにに使用されます。

キーパッドで使用される他の多くの攻撃があります。ビデオカメラは、ピンの入力、熱感知(モミ)、または指紋パウダーを使用して最もよく使用されるキーを確認します。 (Brian Brushwoodに感謝)

私は最初の3本の指を使って数字の列全体をカバーすることでこれと戦い、コンボにあるかどうかに関係なく、すべてのキーを通過してタッチします。

3
Stephen Spencer

「キーボード」という用語を明確にする必要があります。私のキーボードの写真を撮ったら、このテキストを書いています。あなたはきっと私のタイピングからいくつかのパターンと欠けている文字に気付くでしょう。ただし、ほとんどの場合、そのようなキーボードはパスワードの入力にまったく使用されません。通常、特定の自然言語で頻繁に使用される文字のヒートマップを取得します。例えば。俺の a、 c、 e そして n 表示されなくなりました。

パスワードについて考えました。自然言語を使用して複雑な単語を形成するときは、もちろん、言語で最も一般的な文字を使用する傾向があります。特殊文字などを使用したり、使用を強制されたりすると、他のシナリオではほとんど使用されなくなります。

ここで、パスワードを入力することを目的とするセキュリティキーボードについて話しているので、答えは「たぶん」でしょう。多くの人が1つのパスワードをすべて使用する場合、もちろんパターンは時間の経過とともに表示され、使用される数字または文字の順列を作成できるはずです。しかし、このキーボードで多くの人が異なるパスワードを使用すると、頻繁に使用される数字または文字のパターンのみが再び表示されます。

これは検索スペースを削減しますが、他の保護手段がある可能性があるため、実際にパスワードを取得するには不十分な場合があります。 n回失敗した後にロックをロックする。

2
Samuel

検索セットをいくらか大幅に減らすことは可能だと思いますが、それは画像の解像度とキーボードの摩耗状態に大きく依存します。目に見えて摩耗または汚れたキーボード(キーの端の汚れが同じ目的を果たす可能性があります)を使用して、最初に可能なキーを確立し、各キーの重みを1.0にします。次に、ベースラインを確立します。すでにパスワードがわかっているキーボードの写真をたくさん分析し、特定のカルチャーで世界で最も使用されているキーに他のキーよりも低い重みを付けます。このプロセスにより、たとえば母音の重さが軽減されます。次に、最も使用頻度の低いキーを削除してアルファベットを減らし(パスワードは比較的頻繁に入力される可能性が高いため)、残したキーを使用して辞書を準備します。

これはすべて無意味ですが、パスワードをブルートフォースするよりも簡単にハッキングする方法があります。比較的長いパスワード(8文字以上)を使用し、記号、大文字、小文字、数字を含める限り、誰かがパスワードをブルートフォースして取得する可能性はほとんどありません。

1

キーボードに関しては、すべてに同じパスワードを使用していない限り、これは軽微な問題だと思います。すべてに異なるパスワードを使用し、それらを合理的に定期的に変更している場合は、おそらく問題ありません。キーパッドを他のものに使用している場合は、PASWORD着用しているので、あまり心配する必要はないでしょう。

私のようにあなたが熱心なFPSプレーヤーである場合(そして私とは異なり、すべてに1つのパスワードを持っている場合)、パスワードキーに摩耗が表示されるまでに、WSADキーも同様に着用されます。 OK。

つまり、定期的にパスワードを変更し、ランダムジェネレータを使用して 記憶可能なランダムパスワード を作成します。 Dice PassPhrase Generator から始めるのが良いでしょう。少しのExcelウィザードで、これらのプリンシパルとプレスト(覚えやすいランダムパスワード)に基づいて独自のパスワードジェネレーターを作成できます。

0
Miller86