Specker Balázs
Új módszer a jelszavak megfejtésére
A Berkeley Egyetem kutatói a jelszavak feltörésének új módját fedezték fel a közelmúltban. Az ötlet meglehetősen kézenfekvőnek hangzik: egyszerűen csak figyelnek.
Doug Tygar professzor és Li Zhuang végzős hallgató felvette a billentyűleütések hangjait és egy olyan módosított alkalmazáson futtatta le őket, amelyet eredetileg emberi beszédfelismerésre terveztek. Első nekifutásra a program csak a begépelt betűk felét ismerte fel, azután a kapott eredményeket egy nyelvtani, és gépelési hibákat felismerő szoftveren is lefuttatták. Az ebből nyert adatokkal tanították meg a leütés felismerőt, és a meghatározás egyre pontosabb és pontosabb lett. "A harmadik körben már 96%-os biztonsággal talált el minden karaktert" - nyilatkozott Tygar.
Tygar szerint a felhasználóknak az RSA Security "két lépcsős jelszóvédelméhez" hasonló megoldásokat kellene alkalmazniuk. Ennél az eljárásnál a hagyományos jelszó mellett egy elektronikus eszköz által generált numerikus formátumot is meg kell adni. Ez utóbbi percenként cserélődik. "Egy ehhez hasonló rendszer hathatós védelem lenne a mi támadásunkkal szemben is, mivel sosem kell kétszer ugyanaz a jelszót megadni" - mondta Tygar.
Az egyetemi tanár elmondta, hogy amikor egy tíz karakterből álló jelszó feltörésére használták a szoftvert 75 lehetséges variációt adott. "Ez azt jelenti, hogy 75-ből egy jelszót már elsőre ki tudunk találni" - olvasható tanulmányukban. A jelszófejtőknek még csak közvetlenül sem kell hozzáférniük a számítógéphez, elég csupán az utca túloldaláról egy nagy érzékenységű mikrofont a célpontra irányítaniuk, de akár a kiszemelt áldozat telefonján keresztül is felvehetik a billentyűleütéseket. Több számítógépben beépített mikrofon is van, amelyet egy trójai vírus minden gond nélkül be tud kapcsolni és a beérkező hangot egy távoli helyre közvetíteni.
A kutatást az Amerikai Posta (US Postal Service) és a Nemzeti Tudományos Alapítvány (National Science Foundation) támogatja a számítógépek biztonságát veszélyeztető fenyegetéseket feltáró program részeként.
Doug Tygar professzor és Li Zhuang végzős hallgató felvette a billentyűleütések hangjait és egy olyan módosított alkalmazáson futtatta le őket, amelyet eredetileg emberi beszédfelismerésre terveztek. Első nekifutásra a program csak a begépelt betűk felét ismerte fel, azután a kapott eredményeket egy nyelvtani, és gépelési hibákat felismerő szoftveren is lefuttatták. Az ebből nyert adatokkal tanították meg a leütés felismerőt, és a meghatározás egyre pontosabb és pontosabb lett. "A harmadik körben már 96%-os biztonsággal talált el minden karaktert" - nyilatkozott Tygar.
Tygar szerint a felhasználóknak az RSA Security "két lépcsős jelszóvédelméhez" hasonló megoldásokat kellene alkalmazniuk. Ennél az eljárásnál a hagyományos jelszó mellett egy elektronikus eszköz által generált numerikus formátumot is meg kell adni. Ez utóbbi percenként cserélődik. "Egy ehhez hasonló rendszer hathatós védelem lenne a mi támadásunkkal szemben is, mivel sosem kell kétszer ugyanaz a jelszót megadni" - mondta Tygar.
Az egyetemi tanár elmondta, hogy amikor egy tíz karakterből álló jelszó feltörésére használták a szoftvert 75 lehetséges variációt adott. "Ez azt jelenti, hogy 75-ből egy jelszót már elsőre ki tudunk találni" - olvasható tanulmányukban. A jelszófejtőknek még csak közvetlenül sem kell hozzáférniük a számítógéphez, elég csupán az utca túloldaláról egy nagy érzékenységű mikrofont a célpontra irányítaniuk, de akár a kiszemelt áldozat telefonján keresztül is felvehetik a billentyűleütéseket. Több számítógépben beépített mikrofon is van, amelyet egy trójai vírus minden gond nélkül be tud kapcsolni és a beérkező hangot egy távoli helyre közvetíteni.
A kutatást az Amerikai Posta (US Postal Service) és a Nemzeti Tudományos Alapítvány (National Science Foundation) támogatja a számítógépek biztonságát veszélyeztető fenyegetéseket feltáró program részeként.