热攻击：我们的体温被用于黑客入侵

什么是热攻击？

热攻击是一个针对键盘、触摸屏和按钮的一个作用过程。通过留在它们上的余温来读取输入的密码。因为手指在触摸屏幕或按钮时会留下带有热度的一个压印。而因为这个印记在接触后60秒内仍然是可见的，所以热成像仪能够检测到这个指纹。

研究人员发现，触摸与测量时间的间隔越短的按键看起来会更亮。这种方法可以识别构成密码的数字、字母甚至符号的序列。通过这种简单的操作，密码就能够暴露出来并被窃取。那么如果在这个过程中使用了人工智能又会发生什么呢？

英国格拉斯哥大学计算科学学院的一组计算机安全研究人员成功地部署了这种攻击。

在即将出版的ACM Transactions on Privacy and Security期刊上发表的一篇论文中，由副教授Mohamed Khamis领导的一个团队开发了ThermoSecure，该系统依靠人工智能来进行密码的猜测，并通过在手指接触表面后的30到60秒内所拍摄的热图像完成这一过程。

然后，研究人员使用该系统猜测计算机键盘，智能手机屏幕和ATM键盘上的密码和PIN。

由@MKhamisHCI领导的@GlasgowCS的新研究表明，人工智能如何分析键盘和屏幕的热像仪图像，以便在几秒钟内正确猜测计算机密码。他们的结果非常惊人，86%的密码在20秒内拍摄热图像时显示，76%的密码在30秒内拍摄，62%在60秒后显示。

使用ThermoSecure，研究人员可以破解三分之二的密码，最多16个字符。使用较短的密码变得更加容易：12 个字符的密码在 82% 的时间内被猜到，8 个字符的密码被猜到多达 93% 的时间。六个字符或更少的密码在 100% 的时间内被猜到。

虽然仅供研究，但此演示是一个明确的警告，即短密码和PIN码（例如我们用于在ATM上访问银行帐户的密码和PIN）特别容易受到攻击。

更重要的是，像Khamis团队使用的工具越来越容易获得。研究人员表示，“使用热成像相机比以往任何时候都更实惠 - 它们可以以不到200英镑（220美元）的价格找到 - 机器学习也变得越来越容易。这使得世界各地的人们很可能正在开发与ThermoSecure类似的系统，以窃取密码。”

如何防止

鉴于最近这些攻击越来越常见，一些团队已经对这些系统的工作原理及其防范方法进行了一些研究。

研究人员发现，输入密码时按键速度缓慢并长时间把手指按在键盘上的用户更有可能泄露自己的密码。因为与那些快速输入密码的人相比，他们的密码能够被更准确地读取。

另一方面，用于制作键盘的材料也严重影响着系统猜测密码的能力。因为ThermoSecure能够准确猜测写在ABS塑料键帽上的密码的成功率约为50%。但使用PBT键帽时，概率显著降低至14%。

根据这些研究，保护您密码免受这些攻击以及任何其他攻击的最佳方法就是无论如何都要把密码设置得长并且复杂一点，比如使用大小写字母和带有符号的数字。这样的话，无论使用哪种方式都很难能猜测到您的密码。

用户还可以采用更安全的登陆方式，比如使用指纹或面部识别等替代的身份验证方法。这就能够遏制热攻击的方法和技术，并使您能够使自己的隐私免受小偷和黑客的侵犯。

原文始发于微信公众号（电子取证及可信应用协创中心）：热攻击：我们的体温被用于黑客入侵