Warmte van toetsen onthult pincodes en wachtwoorden
Het was al bekend dat wachtwoorden van gebruikers door het "afluisteren" van het keyboard achterhaald kon worden. Ook via de warmte van de toetsen is het mogelijk om wachtwoorden en pincodes te ontdekken, zo blijkt uit onderstaande demonstratie met een thermografiecamera (warmtecamera). Vijf a tien minuten na het indrukken van de toetsen op het toetsenbord kan de combinatie op een afstand van tien meter gelezen worden.
Zelfs als de toetsen maar even aangeraakt worden, brengt de gebruiker voldoende warmte over. De combinatie van de toetsen kan bepaald worden door de te kijken naar de warmte die de toetsen afgeven. De "koudste" toets is als eerste ingedrukt. Deze methode werkt niet meer als een toets meerdere keren gebruikt wordt, maar het vermindert nog altijd wel het aantal permutaties. Het lijkt onwaarschijnlijk dat deze techniek veel gebruikt zal worden, aangezien warmtecamera's vrij prijzig zijn. (Hack a Day)
het dan alsnog worden gestolen, kunnen ze er in elk geval
niet mee pinnen.
On topic: uiteraard moet 'deze onzin' serieus worden
genomen. De onwaarschijnlijkheid wordt snel weggenomen want
voor criminele organisatie's is een 'prijzige' camera
slechts een noodzakelijke investering van wat 'wisselgeld'.
Goed artikel al met al, met een nogal 'onthutsend' slechte
conclusie.
Wat ik trouwens zelf al jaren doe voor (en tijdens) het pinnen:
1. Bekijk de omgeving voor je de portefeuille uit je zak haalt.
2. Controleer of je 'pinslede' gemanipuleerd is.
3. Strijk met je drie vingers over het keypad van de ATM
alvorens je eigen pin combinatie in te voeren. Dezelfde
handeling voer je erna opnieuw uit.
4. Wees tijdens het pinnen bedacht op je omgeving.
Nou Microsoft kan haar strong password policy weer aanpassen ;)
Neem ook meerdere dezelfde letters op in uw wachtwoord en maak het
wacht woord 32 karakters lang...
tjezus valt toch niet tegen op te werken...
mrhawkeye
via een toetsaanslag overgebracht worden...
o nee ben alweer te laat ze zijn er al...
ook grof onderschat trouwens...lekker pinnen bij de bank en hoppa virus..
aangezien warmtecamera's vrij prijzig zijn."
Heh. Dus die criminielen jatten wel pincodes, maar betalen netjes voor die
dure camera's? Denk het niet!
-R.
meter mijn toetsenbord met een warmteimaging apparaat bekijken?
Bovendien is het aantal permutaties erg groot, ook als de toesten bekend
zouden zijn. In het geval van mijn wachtwoord is de kans op raden:
1/80318101760000 of 0,0000000000000124 groot moeten zijn.
En als ik even mijn vingers over alle toetsen heen ga, dan is de kans op
raden vrijwel 0,0
Maar geniaal is het kraken van paswoorden door middel van
identificatie van de individuele toets aanslagen.
http://it.slashdot.org/article.pl?sid=05/09/13/1644259
http://www.cs.berkeley.edu/~tygar/papers/Keyboard_Acoustic_Emanations_Revisited/preprint.pdf
groot gevaar te zijn.
toetsen ook nog een keertje aanraken :P
met een naald op de toetsen van de geldautomaat werden
achtergelaten.
men observeerde pinners en liep na het pinnen naar het keypad:
(ca.)4 toetsen waren 'schoon'.
men wist waar de pinner woonde via navraag bij de RDW
(kentekenregister)
pas stelen en gokken va de juiste volgorde
ik herinner mij ook een truc met druppeltjes handcreme die
met een naald op de toetsen van de geldautomaat werden
achtergelaten.
men observeerde pinners en liep na het pinnen naar het keypad:
(ca.)4 toetsen waren 'schoon'.
men wist waar de pinner woonde via navraag bij de RDW
(kentekenregister)
pas stelen en gokken va de juiste volgorde
Hmmm.. ik had me nu net voorgenomen dat hier niet op het web te zetten.
Gelukkig is de truuk voor de juiste volgorde niet algemeen bekend.
Zegt trouwens de Dresdner bank hier iemand iets?
de RDW (kentekenregister)
Een normaal mens komt daar mooi niet bij!
-R.
de RDW (kentekenregister)
Een normaal mens komt daar mooi niet bij!
-R.
je bedoelt dat je als autobedrijf, sloper bekend moet staan?
de RDW (kentekenregister)
Een normaal mens komt daar mooi niet bij!
-R.
je bedoelt dat je als autobedrijf, sloper bekend moet staan?
Iedereen kan op de site http://www.rdw.nl een beperkt aantal technische data
van een voertuig opvragen a.d.h.v. een kenteken. Maar geen tot personen
herleidbare gegevens. Op de site staat daarover: "Persoonsgegevens
worden alleen aan autoriteiten en belanghebbenden verstrekt die hier
binnen wettelijk vastgestelde kaders recht op hebben." Kortom: politie,
verzekeraars en dergelijke krijgen die gegevens wel.
gegevens over kentekens opvragen...
die website van de RDW is vet onduidelijk. Je kan helemaal
geen
gegevens over kentekens opvragen...
https://info.apk.nl/ovi/oviinvoer.aspx
200 meter afstand . Waarbij je ook nog een pasje nodig hebt.
Kan deze methode ook gebruikt worden om bij bedrijven die
hun pand beveiligen zonder pasje maar met pincode binnen te
komen. Daarom lijkt het me wel een intressante methode.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
