web-dev-qa-db-ja.com

パスワードの入力をカメラに記録することは現実的な懸念事項ですか?

私はCCTVカメラの報道が包括的で増加している都市に住んでいます。カメラはより安く、より高い解像度になっています。誰もがすでにポケットにビデオカメラを持っています。そして、私たちは seetrends を始めています。これは、常時オンのカメラがメガネなどの他のデバイスでは一般的になる可能性があることを示しています。

公の場で、ユーザー名とパスワードを電話とラップトップのアプリに入力すると、カメラで画面とキーボードの両方をキャプチャできれば、視聴者が私をつかんだり推測したりするのはかなり簡単であることがわかりました十分に高い解像度の画像とビューが(あまりに)隠されていないことを想定したフッテージからの認証。

実装方法、精度、コストなどの詳細にはあまり触れませんが、私は画像処理のバックグラウンドを持っているため、これは少なくともある程度自動化できる可能性が高いことも認識しています。

それで、これが実際に実行可能なリスクであるかどうか、ここのコミュニティに尋ねると思いましたか?すでに起こっている既知の事例はありますか?長い目で見れば、プレーンテキストの資格情報をアプリに入力することの可能性に関して、人々はこれについて考えていますか?

146
davnicwil

たくさんの例。注目を集めている最近の例は、 Kanyeがカメラに捕まったとき 自分の「00000」パスワードを入力してデバイスをロック解除したときです。

アプリケーションが画面にパスワードテキストを表示せず、代わりに******を表示する理由の1つは、ショルダーサーフィンです。

これが、多要素認証が非常に重要である理由の1つです。パスワードを知っていても、別の要素がないと使用できません。

ユーザーがパスワードを入力すると、コンピューターのマイクからでも、キーボードのサウンドをキャプチャするための 実行可能な調査さえ見ました

それで、はい、あなたは業界が長い間取り組んできた実行可能なリスクを説明します。高解像度カメラの詳細は、考慮すべき新しい要素としてはそれほど重要ではありません。ショルダーサーフィンとキーロガーは現在のリスクです。

業界は、パスワードよりも優れた何かを開発する必要があることを知っており、そのための積極的な試みは数多くありますが、まだ十分に成熟したものや安定したものはありません。

173
schroeder

別の例として、ATMスキマーの KrebsOnSecurity からの画像をいくつか示します(ATM資格情報を盗むために使用されるデバイス)


Camera 1 ATMフェイスプレートの後ろに隠しカメラ( ソース

Camera 2 隠しカメラをATMの隅に接着( ソース

Camera 3 ATMの偽装パネルに隠しカメラ( ソース


そう、それは非常に現実的な問題です。

また、サーマルイメージャーがPINまたはパスワードを入力するために使用されたキーボードからパスワードを抽出するために使用された-指が接触した時間がほぼ等しい場合は、キーの温度が高いほど、(キーが重複している、指の滞留時間が異なるため、シルバープラッターにパスワードが表示されない可能性がありますが、考えられるパスワードを非常に狭める可能性があります。

17
rackandboneman

役立つもの:パスワードに加えていくつかのボタンを「押す」という習慣を身に付けましょう。

たとえば、パスワードは1234です。1と2を押すと、押すふり、たとえば9と入力し、パスワードを続行できます。

これは、カメラ、キーウェアダウン、見物人を落胆させます。それは確かに低学年ですが、それは他の1000の映像のクリップを通過する人々を思いとどまらせます。

14
Kyle

はい、これはあなたが多くの理由の1つですパスワードを入力してはいけません、そしてほとんどの場合パスワードを知らないはずです(パスワードマネージャマスターパスワードを除く)およびデバイスのロック解除コード/ FDEパスフレーズ。 FDEパスフレーズの場合は、デバイスの電源をオンにするとき、およびカメラや監視者がいないプライベートな場所にのみ入力する必要があります。

はい、そうです。高解像度の画像は必要ありません。統計学者として言えば、タッチした正確な文字や数字(スクリーンキーボードまたは通常のキーボード)を知る必要すらありません。指の位置に基づいて、各選択肢を2つか3つの可能な文字に減らして、パスワードの電子的推測は扱いにくい問題です。 特に Wordフラグメントを形成する文字の組み合わせを試してみます。例えば([FR] [EW] [DE])= "FEE"、 "FED"、または "RED"。

または、数字の場合は、誕生日、記念日、あなた、配偶者、子供など、あなたに関連する数字に現れる組み合わせを探します。電話番号または自宅の住所。

画面または実際のキーボードで、特殊文字にシフトしてそれらが何であるかを推測することができます。また、カメラの角度によっては、どのキーを押したのかが明確になり、一部の位置が1つのキーに限定される場合があります。カメラは可能なパスワードのフィールドをかなり狭めることができ、多くの場合、パスワードが単語や日付にどれだけ一致するかをスコアリングする分析では、「正しい」パスワードがスコアリングリストの一番上にあります。

このため、頭字語のフレーズはこれを無効にするのに役立ちます。 「シーホークスがチャンピオンシップに勝ったら酔ってジグを踊る」のようなあなたに何かを意味するフレーズを暗記することです。次に、頭字語「ITSWTCIGDADAJ」を作成します。これらの文字の一部を数字または特殊文字に置き換えることを学ぶことができます。

頭の中でフレーズを知らなくても、パスワードの文字はランダムで無相関なので、どのキーを正確に打ったかをカメラが判別できない限り、実際の単語または日付との一致を探して正しい順序で推測することはできません。 。