Pytanie:
Czy nagrywanie hasła w aparacie jest realistyczne?
davnicwil
2018-11-08 21:42:14 UTC
view on stackexchange narkive permalink

Mieszkam w mieście, w którym zasięg kamer CCTV jest szeroki i stale rośnie. Kamery są coraz tańsze i mają wyższą rozdzielczość. Każdy ma już kamerę wideo w kieszeni i zaczynamy dostrzegać trendy, które wskazują, że stale włączone aparaty mogą stać się powszechne w innych urządzeniach, takich jak okulary.

Przyszło mi do głowy, gdy wyszedłem publicznie i wprowadziłem moją nazwę użytkownika / hasło do aplikacji na moim telefonie i laptopie, że jeśli kamera może przechwycić zarówno mój ekran, jak i klawiaturę, może to być dość łatwe do złapania przez widza lub zgadnij moje dane uwierzytelniające na podstawie materiału filmowego, zakładając, że obraz jest wystarczająco wysokiej rozdzielczości i widok nie jest (zbyt) przysłonięty.

Bez zbytniego wchodzenia w szczegóły tego, jak zostałby wdrożony, dokładność i koszt itp., Mam doświadczenie w przetwarzaniu obrazów, więc jestem również świadomy, że prawdopodobnie można to przynajmniej do pewnego stopnia zautomatyzować.

Pomyślałem więc, że zapytam społeczność tutaj, czy jest to rzeczywiście realne ryzyko? Czy były już jakieś znane przypadki tego zdarzenia? Czy w dłuższej perspektywie ludzie myślą o tym w odniesieniu do możliwości wprowadzania danych uwierzytelniających w postaci zwykłego tekstu do aplikacji?

Publiczne podawanie danych uwierzytelniających zawsze wiąże się z ryzykiem.
Powiązane: [Koc Snowdena] (https://security.stackexchange.com/q/82362/44336) - Nie użyłby koca, gdyby nie było ryzyka, że zobaczy go w typie.
Spójrz na TOTP - jednorazowe hasła oparte na czasie.Zwykle używane w przypadku 2FA, możesz ich również używać jako jedynego czynnika.Mam kilka skonfigurowanych serwerów, które akceptują SSH.
Cóż, mój bank (wbrew mojej wyraźnej zgodzie) zapłaci do 50 € za transakcję bez włożenia mojej karty do czytnika, używając tylko jakiegoś bezprzewodowego transpondera i bez żadnego tokena bezpieczeństwa.Tak więc, widząc, jak mój telefon z Korei Południowej odblokowuje się na moim odcisku palca i utrzymuje moje _ super ważne_ hasło sprzętowe do zaszyfrowania hasła na Instagramie, widzę, że przeglądanie hasła jest mniejszym z dwóch problemów.
Kto jest twoim przeciwnikiem w modelu zagrożeń?Rząd ma mnóstwo kamer, ale nie musisz ujawniać swojego hasła, aby Cię szpiegować.
„Kto jest Twoim przeciwnikiem?” - każdy, kto ma dostęp do materiału z kamery
Użyj 2FA.Wtedy to nie ma znaczenia.OTOH, to naprawdę tylko ochrona przed surferami i skimmerami (prawdziwymi i wirtualnymi), nie powstrzymuje rządów ani ludzi z zasobami, którzy mogą zagrozić rzeczy po stronie serwera, sprawiając, że cokolwiek robisz, staje się nieistotne.Ponadto problemem jest tylko to, że kamera jest skonfigurowana specjalnie do oglądania ludzi wykonujących określoną czynność, na przykład wprowadzanie kodów PIN do bankomatów.Zwykła kamera monitorująca 30 'na biegunie 100' dalej nie będzie zbyt pomocna w odgadywaniu kodu PIN
Zaczynam myśleć, że losowe „nie możesz użyć odcisku palca, musisz teraz wprowadzić hasło” zostało zaimplementowane specjalnie dla tych CCTV, aby złapać twoje hasło.
* każdy, kto ma dostęp do nagrania z kamery * Przykro mi, ale to zbyt wiele przemyśleń.Wątpię, żeby przypadkiem przypadkiem Ciebie zainteresował przypadkowy pracownik firmy zarządzającej miejską CCTV.Zatem ponownie ** zdefiniuj model zagrożenia **.Obecnie otrzymujesz odpowiedzi, które są wszędzie, ponieważ tego nie zrobiłeś.
Sześć odpowiedzi:
schroeder
2018-11-08 21:46:33 UTC
view on stackexchange narkive permalink

Wiele przykładów. Popularnym i niedawnym przykładem jest sytuacja, gdy Kanye został przyłapany na kamerze, gdy wprowadzał swoje hasło „00000”, aby odblokować swoje urządzenie.

Jednym z powodów, dla których aplikacje nie wyświetlają się, jest surfowanie przez ramię. tekst hasła na ekranie, ale zamiast niego wyświetla się ****** .

I to jest jeden z powodów, dla których uwierzytelnianie wieloskładnikowe jest tak ważne; nawet jeśli znasz hasło, nie możesz go użyć bez innego czynnika.

Widziałem nawet realne badania dotyczące przechwytywania dźwięku klawiatury, gdy użytkownik wpisze hasło, nawet przez mikrofon komputera.

A więc tak, opisujesz realne ryzyko, z którym branża boryka się od dawna. Specyfika kamer o wysokiej rozdzielczości nie jest po prostu wystarczająco istotnym nowym czynnikiem do rozważenia. Surfowanie na ramieniu i keyloggery to aktualne ryzyko.

Branża wie, że musi opracować coś lepszego niż hasła i jest wiele aktywnych prób, aby to zrobić, ale nic nie jest wystarczająco dojrzałe lub stabilne.

Dodam również, że zdarzał się przypadek, w którym zrobiono zdjęcie palca w wysokiej rozdzielczości i wykorzystano do stworzenia repliki odcisku palca i wykorzystano do otwarcia biometrii telefonu.A więc tak, kamery są zagrożeniem.
Myślę, że nowym czynnikiem związanym z kamerami jest możliwość skalowania poprzez szersze przechwytywanie pasywne i automatyzację
@davnicwil tak, to też dobra uwaga.Projektując umiejscowienie kamery w biurowcu musieliśmy wykonać szereg obliczeń dotyczących zagrożeń związanych z uchwyceniem ludzi piszących.Chodzi mi o to, że przestrzeń problemowa nie jest nowa.
@schroeder Dlaczego umieszczasz kamery w budynku biurowym?We Włoszech rejestrowanie pracowników w miejscu pracy jest przestępstwem.Możesz umieścić kamery * przy wejściu *, ale samo nagrywanie pomieszczenia biurowego jest nielegalne bez specjalnej motywacji i zgody „Regulatora prywatności” miasta.To rozwiązuje problem u źródła.Oczywiście ktoś inny mógłby spróbować umieścić ukrytą kamerę, ale jest to prawdą wszędzie i o każdej porze.
@Bakuriu Mogę pokornie zasugerować, że nie wszyscy mieszkają we Włoszech.Szczególnie w przypadkach, gdy firma ma wrażliwe informacje do ochrony lub towary o wysokiej wartości, dalszy nadzór wideo może być uzasadniony w celu zminimalizowania odpowiedzialności i ryzyka.
@DoktorJ To był przykład.Chodzi o to, że liczba sytuacji podczas instalowania kamer do nagrywania pracowników na komputerach ** w biurze ** jest niezwykle rzadka, ponieważ samo biuro powinno być fizycznie kontrolowanym miejscem.Jeśli przez cały czas przychodzą i odchodzą osoby z zewnątrz / klienci itp., To nie jest to „tylko biuro” i stawia różne wymagania dotyczące bezpieczeństwa.
@bakuriu, odpowiedź brzmi po prostu, że była taka potrzeba biznesowa i nie było przeszkód, aby zrobić to tak, jak zrobiliśmy
@schroeder Zdjęcia odcisków palców w wysokiej rozdzielczości to powód, dla którego tożsamości biometryczne należy zawsze traktować jako _nazwa użytkownika_, a nie hasło.W końcu nie są tajemnicą.
Jakoś wątpię, czy hasło Kanye faktycznie byłoby barierą dla atakującego zdolnego do uzyskania dostępu do telefonu ... =)
@Bakuriu, ale weź pod uwagę sytuację detaliczną: pracownicy wprowadzają hasła przełożonych (których operatorzy CCTV nie powinni znać), klienci odblokowują urządzenia, aby zapłacić przez NFC itp. Biuro to tylko jedno środowisko
* Surfowanie przez ramię to ** jeden ** powód, dla którego aplikacje nie wyświetlają hasła na ekranie * (moje wyróżnienie) - z ciekawości, czy znasz innych?(może po namyśle ekrany telewizyjne)
-1
Tak, to też była moja myśl - co byłoby jaśniejsze, gdybym mógł pisać poprawnie („screencating” w moim komentarzu miał być „screencastingiem” :))
@schroeder wooow, czy masz łatwo dostępne źródło dla tej obudowy repliki linii papilarnych?Googlowanie znalazło kilka przypadków, w których ktoś robił odlew z pomocą właściciela telefonu, ale nie ze zdjęcia.
Pamiętam, jak widziałem białą księgę o używaniu akcelerometru urządzenia mobilnego do zbierania danych wystarczających do odzyskania naciśnięć klawiszy (na tym samym lub innym urządzeniu stojącym na stole, iirc).[Oto artykuł, który mogłem łatwo znaleźć] (https://www.techradar.com/news/scientists-find-a-way-to-crack-your-phones-password-using-just-the-accelerometer).
Pamiętam, jak czytałem coś o nagraniu wideo z okna błyszczącego przedmiotu (np. Czajnika), używanego do oglądania tego, co zostało wpisane i pokazane na ekranie użytkownika.Myślę, że jest to teoretycznie możliwe dzięki odbiciom od okularów, a może nawet oczu.Chodzi o to, że kamera nie musi być za tobą.
@LordFarquaad Myślę, że jest to przypadek, o którym mówił: https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands
BlueRaja - Danny Pflughoeft
2018-11-09 05:07:54 UTC
view on stackexchange narkive permalink

Jako kolejny przykład, oto kilka obrazów z KrebsOnSecurity na skimmerach bankomatów (urządzeniach używanych do kradzieży danych logowania do bankomatów)

Camera 1 Ukryta kamera za panelem czołowym bankomatu ( źródło)

Camera 2 Ukryta kamera przyklejona do rogu bankomatu ( źródło)

Camera 3 Ukryta kamera na fałszywym panelu bankomatu ( źródło)

Więc tak, to bardzo realny problem.

Chciałbym zaznaczyć, że te dwa obrazy bankomatów różnią się także pod innymi względami.Na przykład miejsce na kartę po prawej stronie bankomatu wydaje się zmieniać między dwoma obrazami.Na drugim obrazku wydaje się, że jest jakaś wystająca szczelina na kartę.Co to jest?
@fortunate_man To rzeczywisty skimmer, który rejestruje dane na pasku magnetycznym na karcie.Właśnie tego chcesz szukać, korzystając z bankomatu, ponieważ Twój kod PIN jest bezużyteczny bez niego, ale odwrotna sytuacja niekoniecznie jest prawdą.
Dziwię się, że nie dołączyłeś https://krebsonsecurity.com/2012/09/a-handy-way-to-foil-atm-skimmer-scams/, co znacznie bardziej bezpośrednio odpowiada na pytanie.
rackandboneman
2018-11-09 04:05:23 UTC
view on stackexchange narkive permalink

Zgłaszano również przypadki, w których kamery termowizyjne były używane do wyodrębnienia kodu PIN lub hasła z klawiatury, która właśnie została wprowadzona - im cieplejszy klawisz, jeśli czas kontaktu palca jest mniej więcej równy (ciepło nasiąka ... ), ostatnio został naciśnięty. Może to nie przedstawiać hasła na srebrnej tacy z powodu zduplikowanych kluczy, różnych czasów przebywania palca, ale może bardzo zawęzić możliwe hasła.

Mój stosunkowo tani chiński zamek do drzwi ma (nie wiem, czy to było zamierzone, czy po prostu się stało) daleko odstraszające surferów: liczy się tylko pierwsza i ostatnia n cyfr.Tak więc, jeśli kod to 1234, jeśli podejrzewasz, że ktoś patrzy, możesz wpisać 124579413245430234, a większość szpiegów zgubiłaby do tego czasu twoje klucze.Wszystkie klawisze miałyby również tę samą temperaturę i tłustość.
@Lenne, ale jeśli ktoś może (potajemnie?) Nagrać cię dwa lub więcej razy, zamiast po prostu surfować po ramieniu, czy nie może dowiedzieć się, jaki jest rzeczywisty kod, porównując kilka danych wejściowych?:)
Jasne, ale nawet jeśli coś nie jest w 100% zabezpieczone, wszystko, co utrudnia, zatrzyma część, a resztę opóźni
@Lenne tę blokadę można znacznie poprawić, nie akceptując DOKŁADNIE wprowadzonej kombinacji liczb przez kilka prób ....
[Kamera termowizyjna i PIN] (https://youtu.be/8Vc-69M-UWk?t=21) (możesz edytować swoje A, dołączyć link i oznaczyć mój komentarz jako przestarzały)
Myślę, że smugi na ekranach smartfonów również należą do tej kategorii
Jeśli mówimy raczej o fizycznych klawiaturach niż o ekranach dotykowych, powinno być możliwe udaremnienie działania kamery termowizyjnej poprzez delikatne dotknięcie (przez kilka sekund) niektórych lub wszystkich innych klawiszy po wprowadzeniu kodu PIN, zasłaniając wszelkie ujawniające się różnice temperatur.
@Lenne Jestem ciekaw, jaką masz markę zamka do drzwi.Większość dostępnych w USA wydaje się mieć tylko 4 cyfry.
@Lenne Ciekawostka: podobnie można zrobić z bankomatami (przynajmniej w Niemczech).Liczą się tylko pierwsze 4 cyfry.Więc jeśli mój PIN to 1234, mogę wpisać 123485769 i nadal otrzymam pieniądze
Kyle
2018-11-13 07:26:21 UTC
view on stackexchange narkive permalink

Coś, co może pomóc: przyzwyczaić się do „naciskania” kilku przycisków oprócz hasła.

Powiedz, że Twoje hasło to 1234. Możesz trafić w 1 i 2, udawaj, że naciskasz , powiedzmy, 9, a następnie kontynuuj hasło.

To zniechęca kamery, zużywanie klawiszy lub gapiów. Z pewnością jest niskiej jakości, tak, ale odstrasza ludzi, którzy mają 1000 innych klipów do przejrzenia.

Często to robię.Bycie pisarzem dotykowym pomaga.Po prostu umieść palce we właściwej pozycji i naciśnij rzeczywiste numery pinów wśród fałszywych naciśnięć klawiszy, jak chcesz.Jedynym naciśnięciem klawisza, który się wyróżnia, jest naciśnięcie klawisza Enter.
R.. GitHub STOP HELPING ICE
2018-11-09 07:48:34 UTC
view on stackexchange narkive permalink

Tak, i jest to jeden z wielu powodów, dla których nie powinieneś wpisywać haseł , a przeważnie nie powinieneś nawet znać swoich haseł , z wyjątkiem hasła hasło główne menedżera i kody odblokowujące urządzenie / hasła FDE. W przypadku haseł FDE należy je wprowadzać tylko podczas włączania urządzenia i tylko w miejscach prywatnych, w których nie ma kamer ani obserwatorów.

Komentarze nie służą do rozszerzonej dyskusji;ta rozmowa została [przeniesiona do czatu] (https://chat.stackexchange.com/rooms/85594/discussion-on-answer-by-r-is-password-entry-being-recorded-on-camera-a-realista).
Amadeus-Reinstate-Monica
2018-11-10 05:24:25 UTC
view on stackexchange narkive permalink

Powiedziałbym, że tak, a zdjęcia w wysokiej rozdzielczości nie są konieczne. Mówiąc jako statystyk, nie muszę nawet znać dokładnej litery lub cyfry, którą dotknąłeś (na klawiaturze ekranowej lub zwykłej klawiaturze), redukując każdy wybór do 2 lub 3 możliwych znaków, w zależności od pozycji palców, tworzy elektroniczne odgadnięcie hasła to łatwy do rozwiązania problem. Szczególnie spróbuję prawdopodobnie kombinacji liter, które tworzą fragmenty słów; na przykład ([FR] [EW] [DE]) = "FEE", "FED" lub "RED".

Lub jeśli liczby, poszukam kombinacji, które pojawiają się w liczbach związanych z Tobą: urodziny, rocznice, dla Ciebie, małżonka, dzieci. Twój numer telefonu lub adres domowy.

Na ekranie lub prawdziwej klawiaturze widzę, kiedy przesuwasz się, aby wybrać znaki specjalne, i zgaduję, co to jest. Czasami jest jasne, który klawisz uderzysz, w zależności od kąta kamery, zawężając jakąś pozycję do dokładnie jednego klawisza. Kamera może znacznie zawęzić pole możliwych haseł i często w analizie oceniającej, jak dobrze hasła pasują do słów i dat, „właściwe” hasło może znajdować się na górze listy punktacji.

Z tego powodu , zwroty akronimowe mogą pomóc w pokonaniu tego. Chodzi o to, aby zapamiętać zwrot, który coś dla ciebie znaczy, na przykład: „Jeśli Seahawks wygra mistrzostwo, upiję się i zatańczę jig”. Następnie utwórz akronim: „ITSWTCIGDADAJ”. Możesz nauczyć się zastępować niektóre z tych liter cyframi lub znakami specjalnymi.

Nie znając frazy w umyśle, litery hasła są losowe i nieskorelowane, więc chyba że kamera może dokładnie określić, które klawisze zostały naciśnięte , nadal nie będzie w stanie odgadnąć prawidłowej kolejności, szukając dopasowań do prawdziwych słów lub dat.



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 4.0, w ramach której jest rozpowszechniana.
Loading...