È possibile migliorare l'ipotesi di forza bruta di una password con un'immagine della tastiera utilizzata per inserirla?

36

È una cattiva idea pubblicare una foto della tua tastiera sui social media?

Posso guardare una foto di una tastiera e determinare la password di un account?

Supponendo che una certa (serie di) password (s) sia la sequenza di caratteri più comunemente digitata su una determinata tastiera:

  • La risoluzione nella foto di quella tastiera è sufficiente per determinare il set di tasti più frequentemente usato, analizzando i pattern di grasso su di essi?

  • Se conosco le chiavi utilizzate più di frequente, è ora possibile effettuare un attacco di forza bruta, dato che posso limitare le dimensioni del dizionario?

Questa domanda è ispirata da un momento in cui ho visto una porta protetta da un tastierino numerico, in cui mancava la vernice su tre dei tasti. Il numero della stanza era di tre cifre, nessuna delle quali aveva colori sulle rispettive chiavi. Non sorprende che la combinazione fosse il numero della stanza invertito.

    
posta formicophobia 13.05.2016 - 07:57
fonte

7 risposte

51

In alcuni casi sì, puoi indovinare i tasti più frequentemente usati dai segni di usura. È così che so che a quanto pare uso molto i tasti L, M, N, A ed E - i tasti ora sono solo neri, la lettera è sbiadita.

E una chiave speciale è significativamente più usata delle altre - a meno che non sia "{", "}" o ";" e tu sei un programmatore - potresti permettere di includerlo in un bruteforcing, o escluderne altri (questa NON è sicuramente la mia tastiera, ma ancora):

Malamaggiorpartedellepersonenonusalatastierasoloperleloropassword,eilmodellodiusuraèinfluenzatoanchedalladirezionedeltratto,dall'angoloedallapressione-itastipiùinbassosullatastieraverrannopremutiinmododiversodaquellipiùvicini.Itasticheindossopiùvelocementesembranoessereesattamentesottolamanochelicontrolla,eorachehonotato,lihocolpitipiùstrongdeglialtri(OK,ancheiosonoundattilografoorribile).

Latastierapotrebbesuggerire(debolmente,aquestopunto)aqualepotrebbeesserelapiùfrequenteparolatipizzata,oanagrammidellostesso.Manonèlastessadellapasswordtranneincasimoltospecifici(adesempiounatastieradiimmissione).

Incasiancorapiùspecificicomelatastieradiingressotermoconduttore,FIRounastrongimmagineUVscattataimmediatamentedopoladigitazione,inmodocheilcaloreresiduoolafluorescenzaol'interferenzadifasedaglioliperlapellepossanoessereapprezzati,potrestiessereingradodiottenerequalcosa.Maunafotoordinarianontrasmettetaliinformazioni.

Quindilamiaopinionesarebbecheleimmaginidellatastierasonoperlopiùinnocue.

D'altraparte,avoltevedoPost-Itconlettereenumerisudiessiattaccatiamonitoresupannelliinlegnodietroapersoneautoproclamate,quindidireianchecheèsempreunabuonaideaperrecensionelefoto(cosìcomequalsiasialtracosa)pubblicatesuisocialmedia,guardandoibeniconl'occhiodell'attaccante:

  • vistainternadelleserrature(rotte/difettose/jimmied?)e/odeimarchiutilipergliapproccidiricerca
  • suggerimentisullaposizione(questopotrebbeessererilevanteperdeterminareseseiinvacanzaall'esteroestimareperquantotempolatuacasasaràlibera)
  • oggettipreziosi(potrebbedareallepersoneideesudiloroosullatuaricchezza,cheanchepotrebbedareideeallepersone)
  • discrepanzetraciòchevienemostratoeciòchehaidettoaqualcunochepotrebbeconoscere,comeildatoredilavoro, compagnia di assicurazioni , altro / i significativo / i, ecc.

Almeno una volta, alcuni mesi dopo aver postato questa risposta, l'ultimo caso in realtà è successo .

    
risposta data 13.05.2016 - 08:52
fonte
18

Ci sono due diversi scenari. Questa sarebbe una domanda valida se la tastiera viene utilizzata solo per digitare la password. Un tastierino numerico su una porta, è qualcosa che non dovresti pubblicare sui social media. Ma puoi obiettare dicendo che ci sono caratteri speciali sulla tua tastiera che possono essere inclusi nelle tue credenziali, perché normalmente non li usiamo molto nel lavoro quotidiano. Quindi è meglio dare un'occhiata alla tua tastiera prima di pubblicare foto sui social media:)

    
risposta data 13.05.2016 - 08:52
fonte
6

Solo se l'unico scopo della tastiera è di digitare una password.

Altrimenti, scoprirai che i tasti più usati come le vocali, i WASD ei modificatori avranno anche macchie d'olio e segni di usura. Diventa particolarmente più difficile se la password è una passphrase contenente linguaggio naturale.

    
risposta data 13.05.2016 - 20:25
fonte
3

La più grande differenza è in scala. Generalmente una tastiera su un lucchetto viene utilizzata solo per digitare la password, quindi i tasti password sono gli unici utilizzati e indossati. "Qualsiasi tastiera specifica" viene generalmente utilizzata per molto più rispetto alla sola digitazione di password.

Ci sono molti altri attacchi usati sulle tastiere: le videocamere ti guardano mentre inserisci il tuo pin, il sensore di calore (flir) o anche usando la polvere per impronte digitali per vedere i tasti più usati. (Grazie a Brian Brushwood)

Combatto questo usando le mie prime tre dita per coprire l'intera riga di numeri, e passo e tocco ogni tasto, indipendentemente dal fatto che sia nella combo.

    
risposta data 13.05.2016 - 14:44
fonte
2

Devi chiarire il termine "tastiera". Se fai una foto della mia tastiera, sto scrivendo questo testo. Noterai sicuramente alcuni modelli e lettere mancanti dalla mia digitazione. Ma sappi che per la maggior parte del tempo tali tastiere non vengono utilizzate per inserire le password. Solitamente si ottiene una mappa di calore dei caratteri usati frequentemente per un certo linguaggio naturale. Per esempio. i miei a , c , e e n non sono più visibili.

Ho pensato alle mie password. Quando uso il linguaggio naturale per formare parole complesse, ovviamente utilizzo i caratteri più comuni per la mia lingua. Quando uso o sono obbligato a utilizzare caratteri speciali, ecc., Vengono utilizzati in altri scenari.

Da quando parli di tastiere di sicurezza, il cui scopo è inserire una password, la risposta è "forse". Se molte persone usano una sola password dappertutto, ovviamente i modelli saranno visibili nel tempo e dovrebbe essere possibile creare permutazioni delle cifre o dei caratteri usati. Tuttavia, se molte persone usano password diverse su questa tastiera, vedrai di nuovo solo i modelli delle cifre o dei caratteri usati frequentemente.

Questo ridurrà lo spazio di ricerca, ma potrebbe non essere sufficiente per ottenere effettivamente la password in quanto potrebbero esserci altri mezzi di protezione, ad es. blocco del blocco dopo n tentativi falliti.

    
risposta data 13.05.2016 - 13:02
fonte
1

Penso che sarebbe possibile ridurre in qualche modo in modo significativo il set di ricerca, ma dipende in gran parte dalla risoluzione dell'immagine e dallo stato di usura della tastiera. Con una tastiera visibilmente consumata o sporca (lo sporco sul bordo dei tasti potrebbe servire allo stesso scopo), dovresti prima stabilire l'alfabeto possibile, con ogni chiave pesata a 1.0. Quindi stabilire una linea di base. Analizza molte foto di tastiere per le quali conosci già la password e appesantisci le chiavi globalmente più utilizzate per una cultura specifica più bassa rispetto alle altre. Ad esempio, questo processo ridurrà il peso delle vocali. Quindi riduci l'alfabeto rimuovendo le chiavi meno utilizzate (poiché è probabile che una password venga digitata relativamente spesso) e prepara un dizionario con i tasti che hai lasciato.

Tutto ciò è piuttosto inutile, tuttavia ci sono modi molto più semplici per hackerare qualcuno rispetto alla bruteforcing della loro password. Fintanto che usi una password relativamente lunga (8+ caratteri) e includi simboli, maiuscole e minuscole e numeri, c'è ben poca possibilità che qualcuno ottenga la tua password bruteforcing.

    
risposta data 14.05.2016 - 01:05
fonte
0

Per quanto riguarda le tastiere, considererei questo un problema minore a meno che non stavo usando la stessa password per tutto. Se stai utilizzando una password diversa per tutto e modificandoli con regolarità, probabilmente stai bene. Aggiungi questo al fatto che se utilizzi la tastiera per altre cose, otterrai uno schema di usura molto diverso rispetto a solo P A S W O R D essendo indossato, probabilmente non hai molto di cui preoccuparti.

Se come me sei un appassionato giocatore di FPS, (a differenza di me hai una sola password per tutto) dal momento che l'usura è visibile sui tasti della password, anche i tuoi tasti WSAD saranno indossati, tu probabilmente ok.

Detto questo, modifica regolarmente le password e utilizza un generatore casuale per creare password casuali memorabili . Il Dice PassPhrase Generator è un buon punto di partenza. Con un po 'di magie excel puoi creare il tuo generatore di password basandoti su questi principi e password memorabili a breve termine.

    
risposta data 13.05.2016 - 13:33
fonte