Specker Balázs

Új módszer a jelszavak megfejtésére

A Berkeley Egyetem kutatói a jelszavak feltörésének új módját fedezték fel a közelmúltban. Az ötlet meglehetősen kézenfekvőnek hangzik: egyszerűen csak figyelnek.

Doug Tygar professzor és Li Zhuang végzős hallgató felvette a billentyűleütések hangjait és egy olyan módosított alkalmazáson futtatta le őket, amelyet eredetileg emberi beszédfelismerésre terveztek. Első nekifutásra a program csak a begépelt betűk felét ismerte fel, azután a kapott eredményeket egy nyelvtani, és gépelési hibákat felismerő szoftveren is lefuttatták. Az ebből nyert adatokkal tanították meg a leütés felismerőt, és a meghatározás egyre pontosabb és pontosabb lett. "A harmadik körben már 96%-os biztonsággal talált el minden karaktert" - nyilatkozott Tygar.

Tygar szerint a felhasználóknak az RSA Security "két lépcsős jelszóvédelméhez" hasonló megoldásokat kellene alkalmazniuk. Ennél az eljárásnál a hagyományos jelszó mellett egy elektronikus eszköz által generált numerikus formátumot is meg kell adni. Ez utóbbi percenként cserélődik. "Egy ehhez hasonló rendszer hathatós védelem lenne a mi támadásunkkal szemben is, mivel sosem kell kétszer ugyanaz a jelszót megadni" - mondta Tygar.



Az egyetemi tanár elmondta, hogy amikor egy tíz karakterből álló jelszó feltörésére használták a szoftvert 75 lehetséges variációt adott. "Ez azt jelenti, hogy 75-ből egy jelszót már elsőre ki tudunk találni" - olvasható tanulmányukban. A jelszófejtőknek még csak közvetlenül sem kell hozzáférniük a számítógéphez, elég csupán az utca túloldaláról egy nagy érzékenységű mikrofont a célpontra irányítaniuk, de akár a kiszemelt áldozat telefonján keresztül is felvehetik a billentyűleütéseket. Több számítógépben beépített mikrofon is van, amelyet egy trójai vírus minden gond nélkül be tud kapcsolni és a beérkező hangot egy távoli helyre közvetíteni.

A kutatást az Amerikai Posta (US Postal Service) és a Nemzeti Tudományos Alapítvány (National Science Foundation) támogatja a számítógépek biztonságát veszélyeztető fenyegetéseket feltáró program részeként.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Tbone #41
    Ez olyasmi mint az iratmegsemmisitobe epitett scanner. Mielott ledaralan, keszit rola egy copyt a sajat memoriajaba. Aztan mar csak erte kell menni.
  • h4x0r #40
    Teljesen mas elven mukodik. Ott pontos szenzorok vannak, itt kicsi-szar tescogazdasagos mikrofonok.
  • h4x0r #39
    En meg a CIA titkos elnoke vagyok, a Mfskdae ufok nagykovete, templomos lovag, stb. :)
    Ketelkedem abban, hogy ez a kulonbseg megbizhatoan merheto lenne. Mellesleg ahogyan porosodnak a billenytuk, mas lesz a leutes hangja. Meg szerintem a gepeles semaja az erdekes. De ha valaki ugy gepel, mint a villam (neha lecsap :)), tehat lassan, akkor nincs akkora kulonbseg. Na, mind1, szerintem akkora kamu, mint anno a PhotoShop-os penzfelismeros. 00100 a kitalalonak.
  • waterman #38
    http://www.sg.hu/cikkek/35752
    erre a cikkre gondoltam, bár ez nem teljesen azon az elven működik..
  • waterman #37
    ja és hallgatni kettő "l"-vel szoktak..:)
  • waterman #36
    birka vagyok a hang-témában de ha teszem azt tényleg egy skype-ot vagy msn-t valamelyik biztonsági résén át rávesznek, hogy a hangot esetleg egy más kimenetre is portolja, akkor bizony lehetséges.. gondoljatok bele: halgathatsz zenét, finghatsz miközben beírod a jelszavad, nem számít. miért nem? a leütés közben bizonyos mélyfrekvenciás rezgések is létrejönnek: egy laptop beépített mikrofonja pedig a mélyhangokra elég érzékeny.
    ezt kipróbáltam: rátixóztam a billenytyűzetemre a tes*o-s mikrofont(nekem asztali gépem van), felvettem másfél perc gépelést, majd az audacity-vel leszedtem róla a gépzúgást és a magashangokat.. utána a winamp teljesképernyős grafikus izéjével kirajzoltattam a kapott hangmintát. (az amikor a képernyőn balról jobbra húz át az anyag idő szerint, a lentről felfelé haladva pedig frekvencia szerint) és láss csodát: voltak nagyon apró kis különbségek!!: pl a numlock mellé szereltem a mikrofont és látszott amikor a betűk feletti számokat billentyűztem.. (hajszálnyit sűrűbb volt jel amikor közeledtem a mikrofonhoz, tehát pl a 9-es környékén) tehát ez meg egy statisztikai módszer... akár még működhet is. van egy ötletem mindez ellen: a billentyűzetet a mélyládán kell használni.
    de azt hiszem pont itt az sg-n olvastam, hogy csinálhatnak már olyan klaviatúrát, aminek nincsenek gombjai, csak festve van, és van pár koppanásokra kihegyezett mikrofon/szenzor a gépelés közelében a felületre erősítve. a leütéskor keletkező rezgéseket a szenzorok segítségével felfogják és beháromszögelik: így pontosan megkapják a leütés helyét és a szoftver eldönti abból, milyen karaktert is nyomtál.
  • FTeR #35
    nem fog menni, már nem járok suliba és szabadidőmben sem találkozom vele.
    sajnos itt egy név vagy a sok közül és ez kevés hitelt ad. persze ez igaz rám is, de a lényegen nem változtat.
  • IoIa #34
    De esetleg kérdezd meg a nagytudású oktatódat, hogy hol lehet ilyet működés közben is megtekinteni. Kíváncsi vagyok, hogy tud-e ilyet mondani.
  • IoIa #33
    Tudod, évekig részt vettem olyan zártkörű bemutatókon, ahol katonai és titkosszolgálati eszközöket mutattak be (olyan helyen dolgoztam)...
    Ha létezne ilyen, akkor láttam volna. Hallani én is sokszor hallottam róla, mint ahogy arról is hallottam sokszor, hogy egyesek ufót láttak, vagy éppen megjelent szűz Mária...
  • FTeR #32
    én ezt Informatikai Biztonság témakörben tanultam a főiskolán. az előadást tartó csávónak ez a szakmája. bocsáss meg, de neki jobban hiszek.