Il furto di password non avviene solo tramite software e ingegneria sociale - anche una termocamera può essere sufficiente. Questo è stato dimostrato in uno studio condotto da scienziati dell'Università della California. Le telecamere IR stanno diventando sempre più economiche e quindi sempre più interessanti per le spie industriali.
Secondo lo studio "Thermanator: Thermal Residue-Based Post Factum Attacks On Keyboard Password Entry" degli scienziati dell'Università della California, le tracce di calore sulle tastiere in commercio sono sufficienti per rubare le password. Secondo i ricercatori, le voci degli utenti del sistema di ricerca a due dita sono particolarmente facili da leggere. Questo insolito metodo di cracking delle password potrebbe entrare in gioco nel campo dello spionaggio informatico e industriale.
"I rischi sottovalutati sono in agguato soprattutto nell'inserimento delle password", dice Thomas Uhlemann, Security Specialist di ESET. "Mentre molti prestano attenzione allo sguardo indesiderato della spalla, nessuno pensa al proprio calore corporeo - comprensibilmente. Questo offre un potenziale per i criminali informatici - non importa quanto sia forte la password."
I ricercatori hanno filmato le tastiere sulle quali 30 soggetti del test avevano inserito le password. Sulle immagini, i tasti premuti possono ancora essere riconosciuti fino a un minuto dopo l'immissione. E anche i profani sono stati in grado di ricostruire set di input corretti e frammenti di password da queste immagini nella fase successiva dell'esperimento. Se venivano usate due dita invece del sistema di scrittura a 10 dita, le impronte termiche erano di solito più grandi - e quindi più facili da costruire per i potenziali attaccanti.
Gli scienziati raccomandano una serie di contromisure per rendere lo spionaggio delle password molto più difficile o impossibile. Per esempio, la mano dovrebbe essere passata sulla tastiera dopo che sono state inserite informazioni sensibili, o un "rumore termico" dovrebbe essere creato da un input casuale. Altre possibili contromisure includono l'uso della tastiera su schermo e l'uso di guanti termoisolanti - uno scenario piuttosto irrealistico. "Molto più pratico è l'uso di soluzioni di autenticazione sicura a 2 fattori (2FA), come ESET Secure Authentication. Sono convenienti, facili da usare e offrono la massima protezione di accesso", continua Uhlemann.