Nieuws

Warmteoverdracht op toetsenbord kan wachtwoorden lekken

woensdag 4 juli 2018, 13:43 door Redactie, 22 reacties

Laatst bijgewerkt: 04-07-2018, 16:26

Onderzoekers van de University of California, Irvine hebben een nieuwe aanval ontwikkeld voor het achterhalen van wachtwoorden die net op een toetsenbord zijn ingevoerd. Als gebruikers op een toetsenbord een wachtwoord intypen vindt er warmteoverdracht plaats, waar de Thermanator-aanval gebruik van maakt.

De methode is vooral geschikt voor "insiders" binnen organisaties die bijvoorbeeld het wachtwoord van een collega willen achterhalen. Het is al langer bekend dat het via warmtecamera's mogelijk is om te zien welke toetsen er zijn ingedrukt. Volgens de onderzoekers is er echter nooit een systematisch onderzoek uitgevoerd naar de thermische profielen van toetsenborden en zijn er dus ook nooit pogingen ondernomen om ze te beveiligen.

Voor het onderzoek lieten de onderzoekers dertig mensen tien unieke wachtwoorden invoeren op vier veelgebruikte toetsenborden van Dell, HP, Logitech en Azio. Uit het onderzoek blijkt dat zelfs niet ervaren gebruikers 30 seconden nadat het wachtwoord is ingevoerd alle toetsaanslagen kunnen achterhalen. Een gedeeltelijke verzameling van de toetsaanslagen is zelfs nog een minuut na invoeren te achterhalen.

Verder blijkt dat "Hunt-and-Peck" typisten, mensen die met twee vingers een wachtwoord intypen, met name risico lopen. De onderzoekers stellen dat dit minder ervaren typisten zijn die trager typen. Ook gebruiken ze voornamelijk hun wijsvingers die een groter vingertop-oppervlakte hebben dan een ringvinger of pink en doen ze langer over elke toetsaanslag. Deze manier van typen zorgt ervoor dat er meer warmte wordt overgedragen wat de Thermanator-aanval helpt. Daarnaast raken deze typisten geen toetsen aan die geen onderdeel van het wachtwoord zijn.

Er zijn verschillende manieren om de Thermanator-aanval tegen te gaan, zoals het introduceren van "chaff typing". Nadat het wachtwoord is ingevoerd wordt de gebruiker gevraagd om zijn handen over het toetsenbord te halen of willekeurige toetsen in te drukken. Dit maakt het veel lastiger om te zien welke toetsen voor het wachtwoord zijn gebruikt. De onderzoekers stellen ook een veel extremere oplossing voor. "Misschien is het tijd om toetsenborden niet meer te gebruiken voor het invoeren van wachtwoorden of helemaal te stoppen met wachtwoorden."

Inval Duitse politie bij privacystichting raakt TorServers en Tails

Cybersecuritywet ziet ziekenhuizen niet als essentiële dienst

Reacties (22)

04-07-2018, 13:49 door Anoniem

Best een oude truuk maar goed om weer in het nieuws te brengen... uuh toets nooit je wachtwoord in en dan vervolgens de computer of terminal niet meer gebruiken!

04-07-2018, 13:55 door Anoniem

Is het misschien.mogelijk om ook gewoon mee te kijken wanneer colega inlogt!? Geen wachtoorden meer gebruiken lijkt me ook niet echt een goede oplossing.

Gewoin je toetsenbord gebruiken na je inlog en kijk altijd om je heen of er geen warmte camera op je gericht is!

04-07-2018, 14:29 door Anoniem

Na afloop even alle toetsen aanraken om ze op te warmen.
Koud kunstje.

04-07-2018, 14:37 door Anoniem

Wat op een gewoon toetsenbord kan, wordt dus ook op het toetsenbord van een pinapparaat of geldautomaat gedaan. Goede gewoonte zou dan dus zijn, om daarna in numerieke volgorde alle toetsen even aan te raken.

04-07-2018, 14:43 door Anoniem

Als je dan toch het wachtwoord van je collega met een camera gaat stelen kan je ook gewoon de beelden in slow motion terugkijken. Hoef je de aanslagen ook niet meer aan elkaar te puzzelen.

04-07-2018, 14:57 door wica128

@ 14:37 door Anoniem
Asje
https://www.onemorething.nl/2014/08/pincodes-niet-veilig-voor-iphone-met-warmtecamera/

04-07-2018, 16:23 door Anoniem

Je kunt het ook gewoon lezen, staat op dat geeltje vast geplakt aan het scherm.

04-07-2018, 17:19 door Anoniem

Door Anoniem: Is het misschien.mogelijk om ook gewoon mee te kijken wanneer colega inlogt!? Geen wachtoorden meer gebruiken lijkt me ook niet echt een goede oplossing.

Gewoin je toetsenbord gebruiken na je inlog en kijk altijd om je heen of er geen warmte camera op je gericht is!

Het gebruiken van een pin kan een uitstekend alternatief zijn voor een wachtwoord. Als je de volgorde van de cijfers op het pinpad maar elke keer in een willekeurige volgorde zet. Verder altijd 2-factor authenticatie gebruiken..

04-07-2018, 20:59 door Anoniem

Dat laatste zinnetje is precies waar het om draait: wachtwoordhaat.
Bovendien komen ze met een voorbeeld van een zwak en makkelijk te raden wachtwoord. Waarom zijn de shifttoetsen niet gebruikt?
Bij mij zouden er sowieso twee oranje vlekken op staan, omdat ik met 10 vingers blind typ en mijn handen al op de toetsen heb nog voordat ik ga typen (je weet wel: de streepjes op de F en J zijn de oriëntatiepunten).
Overigens gebeurt het nogal vaak dat ik een wachtwoord niet meteen goed heb vanwege de complexiteit.

Ik ben niet overtuigd en ik zie het niet als groot probleem.

04-07-2018, 21:00 door Anoniem

Hiaatje in de GDPR.

Elke site, app of telefoon, die met wachtwoorden werkt zou verplicht moeten aangeven:

Ofwel A: Het wachtwoord is enkel om u een vals gevoel van veiligheid te geven. Want achter uw rug om trekken we alles leeg en verkopen het lekker. Daarbij is het bedoeld om, als u daar achter komt, u gelijk de schuld van onzorgvuldige wachtwoorden te geven. En er staat toch duidelijk dat u die regelmatig moet veranderen.

Ofwel B: Het wachtwoord dient om uw persoonlijke gegevens te beschermen. Ook tegen ons.

04-07-2018, 21:40 door Anoniem

Och kruip ik toch in mn koelkast met mn pc monitor en toetsenbord

04-07-2018, 22:10 door Anoniem

er zijn methoden om dit tegen te gaan. Wachtwoorden gebruiken waarbij letters en cijfers meerdere malen worden gebruikt in de wachtwoordzin. Deze warmte scan kan niet zien of men de letter A 1 maal of bijvoorbeeld 4 maal heeft ingedrukt of deze constructie W8chtWo0rd@dr0oWthc8W

05-07-2018, 06:07 door Anoniem

Veiliger dan aAaaAAaaaAAAaaaaAAAA kan ik het niet maken, wel leuker.

05-07-2018, 07:55 door Anoniem

Door Anoniem: er zijn methoden om dit tegen te gaan. Wachtwoorden gebruiken waarbij letters en cijfers meerdere malen worden gebruikt in de wachtwoordzin. Deze warmte scan kan niet zien of men de letter A 1 maal of bijvoorbeeld 4 maal heeft ingedrukt of deze constructie W8chtWo0rd@dr0oWthc8W

Bovendien is niet te zien welke toetsen in combinatie met SHIFT zijn ingedrukt.

05-07-2018, 08:07 door Anoniem

Door Anoniem: Wat op een gewoon toetsenbord kan, wordt dus ook op het toetsenbord van een pinapparaat of geldautomaat gedaan. Goede gewoonte zou dan dus zijn, om daarna in numerieke volgorde alle toetsen even aan te raken.

daarom is een 5-cyferige code iets beter dan 4 waarbij 1 van de cyfers het zelfde is. dit is helaas een brug te ver

05-07-2018, 09:20 door Anoniem

Oud nieuws, vergelijk gericht hoge resolutie warmtescan bij pin nummers op telefoons op enige afstand.

05-07-2018, 10:03 door Anoniem

En wat is het risico van deze aanval? Juist, nihil. Leuk theoretisch onderzoek, vergelijkbaar onderzoek is al jaren bekend, en praktisch gezien is het nauwelijks waardevol, afgezien misschien van militaire instanties die moeten voldoen aan de hoogste beveiligingseisen voor nucleaire codes of zo. Of heeft iemand hier een collega die met een warmtescanner door het gebouw loopt en zoekt naar mensen die hun wachtwoord intoetsen, het scherm locken en weggaan, waarna de evil colleague metéén aan de slag gaat omdat anders de warmtestraling al niet meer ondubbelzinnig af te lezen is?

"Misschien is het tijd om toetsenborden niet meer te gebruiken voor het invoeren van wachtwoorden of helemaal te stoppen met wachtwoorden."

Dat is nou precies het verschil tussen theoretici en praktijkmensen, en waarom ik de universiteit vooral aardig vond voor de meer theoretische vakken zoals wiskunde. Er lopen dus echt onderzoekers rond die denken dat ze met dit theoretische onderzoek met al bekende resultaten de driver zijn om toetsenborden uit te bannen voor wachtwoordinvoer. Dan ben je volstrekt wereldvreemd.

05-07-2018, 22:49 door Anoniem

Zojuist op een laptop getoetst met een peperdure IR warmtecamera. Het lijkt in eerste opzicht goed te werken, zij het alleen als de laptop nog uit staat en daardoor relatief koel is. Zodra de laptop echter een tijdje aan staat wordt het toetsenbord dermate warm dat de IR straling daarvan de op de toetsen overgedragen warmte van de vingertoppen volledig overstraalt, dus alsof de IR camera last heeft van fel 'tegenlicht'. Voorts blijkt ook dat met de vlakke hand over het nog koele toetsenbord vegen de IR techniek volkomen onbruikbaar maakt. Schroeven aan de IR temperatuur resolutie leverde geen beter warmtebeeld op.

09-07-2018, 10:17 door Anoniem

Veel van deze toetsen bordjes hebben metalen toetsen die de warmte zeer snel afboert.

09-07-2018, 11:16 door Jan Kol

Ehhh, waarom wachtwoorden typen? Met een "wachtwoordkluis" als KeePass)* hoef je geen wachtwoorden meer te onthouden, kun je de meest ingewikkelde wachtwoorden genereren en door het programma laten onthouden en via "autotypen" automatisch, zonder het toetsenbord te gebruiken, gebruikersnamen en wachtwoorden ingeven. Evt. via kopiëren en plakken kun je dat ook doen, dus wat typen... En bovendien, in hoeveel situaties heeft een ander toegang tot je toetsenbord zonder dat je er bij bent. En wat al wordt opgemerkt: type na afloop wat extra tekens en je verstoort de boel behoorlijk.
)* KeePass heeft mijn voorkeur omdat je gebruikersnamen en wachtwoorden niet op het internet worden bewaard in een database(je) maar op je eigen computer of nog veiliger op een USB-stick. Wel zorgen voor een back-up want als het mis gaat ben je echt alles kwijt als er geen backup is, al dan niet als KeePass kdbx-bestand of als csv-bestand.

Veel gevaarlijker is de pinautomaat. Daar moet je eigenlijk na OK eigenlijk nog wat toetsen extra indrukken om de zaak zo goed mogelijk te misleiden, al denk ik dat dit bij de voortschrijdende techniek ook lastiger wordt omdat de boef zich op de vier toetsen die voor OK werden ingedrukt zal proberen te concentreren, dus bij de veiligheids-toetserij ook de pintoets-cijfers betrekken.

09-07-2018, 14:53 door Anoniem

Als je fysieke toegang hebt, kan je er ook een keylogger tussen plaatsen en daarna uitlezen, dat is veel makkelijker dan met zo'n FLIR rondlopen en je hoeft de volgorde van de aanslagen niet te raden.

09-07-2018, 16:40 door Eric-Jan H te D

Dat is knap. Van mijn laptop is het toetsenbord daarom voorzien van een device om het tussen de 35 en 40 graden te houden.
In de specificatie van de laptop staat dat er een Core 2 Duo P8700 verwarmingselement in zit.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer