我住在一个闭路电视摄像机覆盖范围广泛且不断增加的城市。相机越来越便宜,分辨率越来越高。每个人的口袋里都已经有了一台摄像机,而且我们开始看到 趋势表明永远在线的摄像机可能在眼镜等其他设备中变得司空见惯。
我突然想到,当我在公共场合外出并将我的用户名/密码输入手机和笔记本电脑上的应用程序时,如果摄像头可以同时捕捉到我的屏幕和键盘,那么观看者就可以很容易地抓住或猜测我的假设有足够高分辨率的图像并且视图没有(太)模糊,则来自镜头的凭据。
无需过多介绍如何实现、准确性和成本等细节,我有图像处理方面的背景,因此我也知道这可能至少在某种程度上是可自动化的。
所以我想我会问这里的社区这是否真的是一个可行的风险?是否已经发生过任何已知的实例?从长远来看,人们是否考虑到明文凭证进入应用程序的可行性?
很多例子。最近一个备受瞩目的例子是当Kanye 被摄像机拍到输入他的“00000”密码来解锁他的设备时。
肩膀冲浪是应用程序不在屏幕上显示密码文本而是显示的原因之一******。
这就是多因素身份验证如此重要的原因之一;即使您知道密码,如果没有其他因素,您也无法使用它。
我什至看到了在用户输入密码时捕获键盘声音的可行研究,甚至是通过计算机的麦克风。
所以,是的,您描述了该行业长期以来一直在解决的一个可行风险。高分辨率相机的细节并不是一个值得考虑的新因素。肩部冲浪和键盘记录器是当前的风险。
业界知道它需要开发比密码更好的东西,并且有很多积极的尝试这样做,但还没有足够成熟或稳定的东西。
另一个例子,这里有一些来自KrebsOnSecurity在 ATM Skimmers 上的图片(用于窃取 ATM 凭证的设备)
ATM面板后面的隐藏摄像头(来源)
隐藏在 ATM 角落的摄像头(来源)
ATM假面板上的隐藏摄像头(来源)
所以,是的,这是一个非常现实的问题。
此外,有报道称,热像仪用于从刚用于输入的键盘中提取 PIN 或密码 - 按键越热,如果手指接触的时间大致相等(热量渗入......),最近它被按下了。由于重复的键、不同的手指停留时间,这可能不会在银盘上显示密码,但可以极大地缩小可能的密码。
可能有帮助的东西:养成除了密码之外“按”几个按钮的习惯。
假设您的密码是 1234。您可以按 1 和 2,假装按9,然后继续输入密码。
它不鼓励任何相机、按键磨损或旁观者。这当然是低档的,是的,但它阻止了那些有 1000 个其他镜头片段要浏览的人。