Forscher knacken Passwörter mit Wärmebildern

Sicherheitsforscher haben ein System entwickelt, das mithilfe von künstlicher Intelligenz und Wärmebildern in der Lage ist, Passwörter für Computer und Smartphones zu erraten. Dafür werden die Wärmesignaturen ausgewertet, die Fingerspitzen bei der Eingabe auf Tastaturen und Bildschirmen hinterlassen. Der Vorgang selbst soll nur wenige Sekunden dauern.

Die Forscher der School of Computing Science der University of Glasgow nennen ihr Verfahren ThermoSecure. Sie wollen damit auch demonstrieren, wie sinkende Preise für Technologien wie Wärmebildkameras und einfache Zugänge zu Machine Learning und Artificial Intelligence neue Möglichkeiten für Angriffe schaffen.

Auf Wärmebildern erscheinen Bereiche mit höheren Temperaturen heller. Ein Wärmebild einer Tastatur, eines Bildschirms und sogar des Eingabefelds eines Geldautomaten kann also verraten, welche Zeichen zuletzt eingegeben wurden. Neu ist vor allem die Verknüpfung mit künstlicher Intelligenz, die es nun erlaubt, Kennwörter deutlich schneller zu knacken als wenn ein Mensch ein solches Wärmebild auswerten würde.

Allerdings ist die Erfolgsrate der ThermoSecure-Angriffe stark davon abhängig, wie schnell ein Wärmebild nach der Eingabe aufgenommen wird. Nach 20 Sekunden waren die Forscher in der Lage, rund 86 Prozent der Passwörter offenzulegen. Innerhalb von 30 Sekunden sank die Erfolgsquote auf 76 Prozent. Nach 60 Sekunden ließen sich mit dem Verfahren immerhin noch rund 62 Prozent der Kennwörter erraten.

Ein weiterer Faktor, der die Erfolgsquote beeinflusst, ist die Länge des Passworts. Bei acht Zeichen waren die Forscher in 93 Prozent der Fälle erfolgreich. Zwölf Zeichen ließen die Erfolgsquote auf 82 Prozent schrumpfen. Bei Passwörtern mit 16 Zeichen kam ThermoSecure immer noch auf 66 Prozent. Vor allem bedenklich für Geldautomaten ist der Umstand, dass bei sechs Zeichen und weniger die Erfolgsrate bei 100 Prozent lag.

“Wärmebildkameras sind heute erschwinglicher denn je – sie sind für weniger als 200 Pfund zu haben – und auch das maschinelle Lernen wird immer zugänglicher. Das macht es sehr wahrscheinlich, dass Menschen auf der ganzen Welt ähnliche Systeme wie ThermoSecure entwickeln, um Passwörter zu stehlen”, sagte Dr. Mohamed Khamis, Dozent für Informatik an der Universität Glasgow, der die Entwicklung von ThermoSecure leitete.

Khamis nannte aber auch eine einfach umzusetzende Option, um sich vor derartigen Angriffen zu schützen. “Längere Passphrasen müssen länger getippt werden, was es auch schwieriger macht, einen genauen Messwert auf einer Wärmebildkamera zu erhalten, insbesondere wenn der Benutzer mit einem Finger schreibt.” Auch eine biometrische Authentifizierung biete zusätzlichen Schutz.