没有过多地介绍它的实现方式,准确性和成本等细节,我拥有图像处理的背景,因此我也知道
所以我想问一下这里的社区,这是否真的可行?已经有任何已知的情况发生了吗?从长远来看,人们是否在考虑将纯文本凭据输入应用程序的可行性?
#1 楼
很多例子。最近的一个引人注目的例子是,当Kanye被捕获在摄像机上时,输入“ 00000”密码来解锁设备。 ,而是显示******
。,这就是多因素身份验证如此重要的原因之一;即使知道密码,也不能没有其他因素使用它。
因此,是的,您描述的是该行业长期解决的可行风险。高分辨率相机的细节还不足以成为要考虑的新因素。肩冲浪和键盘记录程序是当前的风险。
评论
我还要补充一点,在某些情况下,需要用手指拍摄高分辨率照片,然后将其用于创建副本指纹并用于打开手机的生物识别信息。因此,是的,相机是一种威胁。
– schroeder♦
18年8月8日在15:58
我认为相机的新因素是通过更广泛的被动拍摄和自动化实现规模扩展的潜力
– davnicwil
18年11月8日在16:10
@davnicwil是的,这也是一个好点。在办公楼中设计摄像机放置位置时,我们必须对捕获人员打字的风险进行大量计算。我的意思是问题空间远非新鲜事物。
– schroeder♦
18年11月8日在16:38
@Bakuriu我可能会谦虚地建议并非每个人都住在意大利。特别是在公司具有敏感信息以保护或高价值商品的情况下,可能需要进行进一步的视频监视以最大程度地减少责任和风险。
– Doktor J
18年11月8日在20:30
@bakuriu的答案很简单,那就是有业务需求,并且没有像我们所做的那样遇到障碍
– schroeder♦
18年11月8日在21:27
#2 楼
再举一个例子,这是来自ATM撇渣器(用于窃取ATM凭据的设备)上的KrebsOnSecurity的一些图像。隐藏在ATM角落的隐藏摄像机(源)
隐藏在ATM假面板上的隐藏摄像机(源)
所以,这是非常真实的世界关注。
评论
我想指出的是,两个ATM映像在其他方面也有所不同。例如,在两个图像之间,ATM机右侧的卡插槽似乎已更改。第二张图像中似乎有某种突出的卡槽。这是什么?
– Ashish Ahuja
18年10月10日在13:44
@fortunate_man这是实际的撇油器,将数据记录在卡上的磁条上。这是您在使用ATM时实际要寻找的东西,因为没有它,您的PIN便无用了,但是不一定是正确的。
–罗斯里奇
18年11月10日在16:28
我很惊讶您没有包括krebsonsecurity.com/2012/09/…,它可以更直接地回答问题。
–通配符
18年11月12日在18:39
#3 楼
此外,也有报道称使用热成像仪从刚用于输入密码的键盘上提取PIN或密码-如果手指接触的时间大约相等(热浸入...),则该键越热,最近它已被按下。由于重复的键,不同的手指停留时间,这可能不会在银盘上显示密码,但是会极大地缩小可能的密码。评论
我的价格相对便宜的中国门锁有一个(我不知道这是有意还是刚刚发生)可以阻止肩冲浪者:只有前n位和后n位重要。因此,如果代码是1234,如果您怀疑有人正在观看,则可以输入124579413245430234,到那时大多数窥探者将丢失您的钥匙。所有按键的温度和油脂性也相同。
–莱恩
18年9月9日在11:02
@Lenne但是,如果有人可以(秘密地?)记录您两次或多次,而不仅仅是肩并肩,他们是否可以通过比较少量输入来找出实际代码? :)
–伊凡·科尔米切克(Ivan Kolmychek)
18年11月9日,19:24
可以,但是即使不是100%的保护,所有使工作变得更困难的事情也会阻止某些操作,并延迟其余操作
–莱恩
18年11月9日在19:46
@Lenne可以通过多次尝试不接受确切输入的数字组合来大大改善锁定效果。
–rackandboneman
18年9月9日在21:22
我认为,智能手机屏幕上的涂抹痕迹也属于此类
–哈根·冯·埃岑
18年11月10日在10:15
#4 楼
可能有帮助的事情:除了密码外,还需要“按”几个按钮。说您的密码是1234。您可以按1和2,假装按,9,然后继续输入密码。
不鼓励使用任何相机,按键磨损或旁观者。肯定是低年级,是的,但是它阻止了还有其他1000个素材片段要经过的人。
评论
我经常这样做。成为一名打字员会有所帮助。只需将手指放在适当的位置,然后根据需要在模拟按键中按实际的密码。唯一突出的按键是按Enter键。
–ouflak
18年11月14日在11:48
#5 楼
是的,这是您不应输入密码的原因之一,并且除了密码管理器主密码和设备解锁代码/ FDE密码短语外,大部分情况下甚至都不知道您的密码。对于FDE密码,应仅在打开设备电源时输入密码,并且只能在没有摄像机或观察员的私人场所输入密码。评论
评论不作进一步讨论;此对话已移至聊天。
–Rory Alsop♦
18年10月10日在19:59
#6 楼
我会说是的,并且高分辨率图像不是必需的。作为统计学家,我什至不需要知道您触摸的确切字母或数字(在屏幕键盘或常规键盘上),根据手指的位置将每个选择减少到2或3个可能的字符,电子猜测您的密码是一个棘手的问题。我尤其会尝试形成单词片段的字母组合;例如([FR] [EW] [DE])=“ FEE”,“ FED”或“ RED”。如果是数字,我会寻找与您相关的数字中出现的组合:生日,周年纪念日,适合您,配偶,孩子。您的电话号码或房屋地址。
在屏幕上或真实的键盘上,我可以看到您何时换特殊字符并猜测它们是什么。有时您会清楚地知道您按下了哪个键,具体取决于相机的角度,从而将某个位置缩小为一个键。摄像机可以大大缩小可能的密码范围,并且经常在分析中对密码与单词和日期的匹配程度进行评分时,“正确的”密码可以位于得分列表的顶部。
为此原因是,首字母缩写词短语可以帮助克服这一点。这样做的目的是记住一个对您来说有意义的短语,例如“如果海鹰队赢得冠军,我会喝醉并跳夹具。”然后缩写:“ ITSWTCIGDADAJ”。您可以教自己用数字或特殊字符替换其中的某些字母。
在您不知道您要记住的短语的情况下,密码字母是随机的且不相关,因此除非相机能够分辨出您按下了哪些键确切地说,它仍然无法通过寻找与真实单词或日期的匹配来猜测正确的顺序。
评论
在公共场所输入凭据始终是一种风险。相关:斯诺登的毯子-如果没有看到他打字的危险,他不会使用毯子。
看看TOTP-基于时间的一次性密码。通常用于2FA,也可以将它们用作唯一因素。我设置了一些接受SSH的服务器。
好吧,我的银行将(根据我的明确同意)为每次交易最多支付50欧元,而无需将我的卡插入读卡器中,仅使用一些无线应答器,并且不提供任何安全令牌。因此,看到我的韩国手机如何解锁指纹并保持对我非常重要的Instagram密码硬件进行加密后,我将密码掠夺视为两个问题中的较小者。
威胁模型的对手是谁?政府拥有如此众多的相机,但不需要您透露密码来监视您。