¿La grabación de la contraseña en la cámara es una preocupación real?

Muchos ejemplos. Un ejemplo reciente y de alto perfil es cuando Kanye fue captado por la cámara ingresando su contraseña "00000" para desbloquear su dispositivo.

La navegación por los hombros es una de las razones por las que las aplicaciones no muestran el texto de la contraseña en la pantalla, sino que muestran ****** en su lugar.

Y esta es una de las razones por las que la autenticación multifactor es tan importante; incluso si conoce la contraseña, no puede usarla sin otro factor.

Incluso he visto investigación viable para capturar el sonido del teclado cuando un usuario escribe la contraseña, incluso a través del micrófono de la computadora .

Entonces, sí, describe un riesgo viable que la industria ha estado abordando durante mucho tiempo. Los detalles específicos de las cámaras de alta resolución no son un factor suficientemente importante para considerar. Los navegadores de hombro y los keyloggers son un riesgo actual.

La industria sabe que necesita desarrollar algo mejor que las contraseñas, y hay muchos intentos activos de hacerlo, pero aún no hay nada lo suficientemente maduro o estable.

Como otro ejemplo, aquí hay algunas imágenes de KrebsOnSecurity en Skimmers de ATM (dispositivos utilizados para robar ATM credenciales)

Cámaraocultadetrásdelaplacafrontaldelcajeroautomático( fuente )

Cámaraocultapegadaalaesquinadelcajeroautomático( source )

Cámaraocultaenelpanelfalsodecajeroautomático( source )

Entonces, sí, es una preocupación muy real.

También, se han reportado casos en los que se usaron cámaras de imágenes térmicas para extraer un PIN o una contraseña de un teclado que se acaba de usar para ingresar: la tecla más caliente, si el tiempo de contacto con los dedos es aproximadamente igual (el calor empapa en ... ), cuanto más recientemente se ha pulsado. Esto podría no presentar la contraseña en una bandeja de plata debido a claves duplicadas, diferentes tiempos de permanencia del dedo, pero puede restringir extremadamente las posibles contraseñas.

Algo que puede ayudar: ingrese al habbit de "presionar" algunos botones además de su contraseña.

Diga, su contraseña es 1234. Puede presionar el 1 y el 2, simular que presiona , decir, 9 y luego continuar con su contraseña.

Desalienta a las cámaras, el desgaste de las teclas o los espectadores. Ciertamente es de baja calificación, sí, pero disuade a las personas que tienen otros 1000 videos de imágenes que se pueden ver.

Sí, y esta es una de las muchas razones por las que no debe ingresar contraseñas y, en su mayor parte, ni siquiera debe conocer sus contraseñas , excepto una contraseña La contraseña maestra del administrador y los códigos de desbloqueo del dispositivo / frases de contraseña FDE. Para las frases de contraseña de FDE, debe ingresarlas solo cuando encienda el dispositivo, y solo en lugares privados donde no haya cámaras u observadores presentes.

Yo diría que sí, y las imágenes de alta resolución no son necesarias. Hablando como estadístico, ni siquiera necesito saber la letra o el número exacto que tocó (en un teclado de pantalla o en un teclado normal), reducir cada opción a 2 o 3 caracteres posibles, según la posición de sus dedos, hace una Conjetura electrónica de su contraseña un problema manejable. Especialmente probaría combinaciones de letras que forman fragmentos de palabras; p.ej. ([FR] [EW] [DE])="FEE", "FED" o "RED".

O si fueran números, buscaría combinaciones que aparezcan en números relacionados con usted: cumpleaños, aniversarios, para usted, cónyuge, hijos. Su número de teléfono o dirección de la casa.

En una pantalla o en un teclado real, puedo ver cuándo cambias para obtener caracteres especiales y adivinar cuáles son. Y a veces queda claro qué tecla presionó, dependiendo del ángulo de la cámara, reduciendo algunas posiciones exactamente a una tecla. La cámara puede reducir considerablemente el campo de las posibles contraseñas y, a menudo, en un análisis que puntúa qué tan bien las contraseñas coinciden con las palabras y las fechas, la contraseña "correcta" puede estar en la parte superior de la lista de puntuación.

Por esta razón, las frases acronímicas pueden ayudar a derrotar esto. La idea es memorizar una frase que signifique algo para ti, como "Si los Seahawks ganan el campeonato, me emborracharé y bailaré un jig". Luego haz un acrónimo: "ITSWTCIGDADAJ". Puede aprender a reemplazar algunas de estas letras con números o caracteres especiales.

Sin saber la frase en su mente, las letras de las contraseñas son aleatorias y no están correlacionadas, por lo tanto, a menos que la cámara pueda decir qué teclas presionó exactamente, aún no podrá adivinar la secuencia correcta buscando coincidencias reales. palabras o fechas.