L'immissione della password registrata sulla fotocamera è un problema realistico?

145

Vivo in una città in cui la copertura della telecamera CCTV è completa e in aumento. Le fotocamere stanno ottenendo una risoluzione più economica e più alta. Tutti hanno già una videocamera in tasca e stiamo iniziando a vedere tendenze che indicano che le fotocamere sempre attive possono diventare comuni in altri dispositivi come gli occhiali.

Mi è venuto in mente, quando ero in pubblico e inserendo il mio nome utente / password nelle app sul mio telefono e sul mio portatile, che se una telecamera potesse catturare sia il mio schermo che la mia tastiera, potrebbe essere abbastanza semplice per uno spettatore afferrare o indovina le mie credenziali dal filmato assumendo un'immagine con una risoluzione sufficientemente elevata e la vista non è (troppo) oscurata.

Senza addentrarci troppo nei dettagli su come sarebbe implementato, sull'accuratezza e sui costi ecc., ho un background nell'elaborazione delle immagini e sono anche consapevole che questo sarebbe probabilmente automatizzabile almeno in parte.

Quindi ho pensato di chiedere alla comunità qui se questo è in realtà un rischio valido? Ci sono già stati casi in cui è già accaduto? Le persone stanno pensando a questo riguardo alla fattibilità dell'inserimento di credenziali in chiaro nelle app a lungo termine?

    
posta davnicwil 08.11.2018 - 16:42
fonte

6 risposte

171

Un sacco di esempi. Un esempio recente e di alto profilo è quando Kanye è stato catturato sulla videocamera inserendo la sua password "00000" per sbloccare il suo dispositivo.

La spaccatura è una delle ragioni per cui le applicazioni non visualizzano il testo della password sullo schermo, ma mostrano invece ****** .

E questo è uno dei motivi per cui l'autenticazione a più fattori è così importante; anche se conosci la password, non puoi usarla senza un altro fattore.

Ho persino visto ricerca fattibile per catturare il suono della tastiera quando un utente digita la password, anche sul microfono del computer .

Quindi, sì, descrivi un rischio percorribile che il settore sta affrontando da molto tempo. Lo specifico delle fotocamere ad alta risoluzione non è un fattore abbastanza significativo da prendere in considerazione. Spalla-navigazione e keylogger sono un rischio corrente.

L'industria sa che ha bisogno di sviluppare qualcosa meglio delle password, e ci sono molti tentativi attivi per farlo, ma ancora niente è maturo o abbastanza stabile.

    
risposta data 08.11.2018 - 16:46
fonte
55

Come altro esempio, ecco alcune immagini da KrebsOnSecurity su ATM Skimmer (dispositivi usati per rubare sportelli automatici le credenziali)

TelecameranascostadietroilfaceplateATM( fonte )

Telecameranascostaincollataall'angolodell'ATM( fonte )

TelecameranascostasulpannellofalsodiATM( fonte )

Quindi sì, è una preoccupazione per il mondo reale.

    
risposta data 09.11.2018 - 00:07
fonte
16

Inoltre, sono stati segnalati casi in cui le termocamere sono state utilizzate per estrarre un PIN o una password da una tastiera appena utilizzata per accedervi: più calda è la chiave, se il tempo di contatto con le dita è pressoché uguale (il calore si assorbe in ... ), più recentemente è stato premuto. Questo potrebbe non presentare la password su un piatto d'argento a causa di chiavi duplicate, tempi di attesa delle dita diversi, ma può limitare notevolmente le password possibili.

    
risposta data 08.11.2018 - 23:05
fonte
12

Qualcosa che può aiutarti: entra nell'abitudine di "premere" alcuni pulsanti oltre alla tua password.

Dì, la tua password è 1234. Potresti premere 1 e 2, fingere di premere , diciamo, 9, e poi continuare la tua password.

Scoraggia tutte le videocamere, i dispositivi che consumano le chiavi o gli spettatori. È certamente di basso livello, sì, ma scoraggia le persone che hanno altre 1000 clip di filmati da passare.

    
risposta data 13.11.2018 - 02:26
fonte
8

Sì, e questo è uno dei tanti motivi per cui non dovrebbe inserire le password , e per la maggior parte non dovrebbe nemmeno conoscere le tue password , ad eccezione di una password password principale gestore e codici di sblocco dispositivo / passphrase FDE. Per le passphrase FDE, devi inserirle solo quando accendi il dispositivo e solo in luoghi privati in cui non sono presenti telecamere o osservatori.

    
risposta data 09.11.2018 - 02:48
fonte
8

Direi di sì, e le immagini ad alta risoluzione non sono necessarie. Parlando come statistico, non ho nemmeno bisogno di conoscere la lettera o il numero esatti che hai toccato (su una tastiera a schermo o una normale tastiera), riducendo ogni scelta a 2 o 3 possibili caratteri, in base alla posizione delle dita, fa un ipotesi elettronica della tua password un problema trattabile. Soprattutto vorrei provare probabili combinazioni di lettere che formano frammenti di parole; per esempio. ([FR] [EW] [DE])="FEE", "FED" o "RED".

O se numeri, cercherò combinazioni che appaiono in numeri correlati a te: compleanni, anniversari, per te, coniuge, figli. Il tuo numero di telefono o indirizzo di residenza.

Su uno schermo o una tastiera reale, posso vedere quando ti sposti per caratteri speciali e indovina cosa sono. E a volte è chiaro quale tasto si preme, a seconda dell'angolazione della telecamera, restringendo alcune posizioni esattamente a un tasto. La videocamera può restringere considerevolmente il campo delle password possibili, e spesso in analisi che valutano quanto bene le password corrispondano a parole e date, la password "giusta" può essere in cima alla lista dei punteggi.

Per questo motivo, le frasi acronymic possono aiutare a sconfiggere questo. L'idea è di memorizzare una frase che significa qualcosa per te, come "Se i Seahawks vincono il campionato mi ubriacherò e ballerò un jig". Quindi creare un acronimo: "ITSWTCIGDADAJ". Puoi insegnare a te stesso a sostituire alcune di queste lettere con numeri o caratteri speciali.

Senza conoscere la frase nella tua mente, le lettere della password sono casuali e non correlate, quindi a meno che la videocamera non sia in grado di dire quali tasti hai colpito esattamente, non sarà ancora in grado di indovinare la sequenza corretta cercando corrispondenze reali parole o date.

    
risposta data 10.11.2018 - 00:24
fonte

Leggi altre domande sui tag