¿Es posible mejorar la adivinación de fuerza bruta de una contraseña con una imagen del teclado que se usa para ingresarla?

En algunos casos, sí, puede adivinar las claves utilizadas con mayor frecuencia por las marcas de desgaste. Así es como sé que aparentemente uso mucho las teclas L, M, N, A y E; ahora las teclas son solo negras, la letra está descolorida.

Y una clave especial se usa mucho más que las otras, a menos que sea "{", "}" o ";" y resulta que usted es un programador: podría permitir incluir eso en una fuerza bruta o excluir a otros (esto definitivamente NO es mi teclado, pero aún así):

Perolamayoríadelaspersonasnousaneltecladosoloparasuscontraseñas,yelpatróndedesgastetambiénseveinfluenciadoporladireccióndeltrazo,elánguloylapresión:lasteclasqueestánmásabajoeneltecladosepresionarándemaneradiferentealasdelosqueestánmáscerca.Lasteclasquellevomásrápidoparecenestarexactamentedebajodelamanoquelascontrola,yahoraquemedicuenta,lasgolpeémásfuertequelasdemás(estábien,tambiénsoyunmecanógrafohorrible).

Eltecladopodríasugerir(débilmente,eneso)loquepodríaserlapalabraescritamásfrecuente,osusanagramas.Peroesonoeslomismoquesucontraseña,exceptoencasosmuyespecíficos(porejemplo,untecladodeentrada).

Encasosaúnmásespecíficos,comoeltecladodeentradaconductoradecalor,laimagenFIRoUVfuertetomadainmediatamentedespuésdeescribirparaquesepuedaapreciarelcalorresidualolafluorescenciaolainterferenciadefasedelosaceitesparalapiel,esposiblequepuedaobteneralgo.Perounaimagennormalnotransmitetalinformación.

Porlotanto,miopiniónseríaquelasimágenesdeltecladosoncasiinofensivas.

Porotrolado,avecesveoPost-Itconletrasynúmerosadheridosamonitoresyentablerosdemaderadetrásdepersonasconselfies,asíquetambiéndiríaquesiempreesunamuybuenaidearevisarlasfotos(asícomoloquesea)quepubliquesenlasredessociales,mirandolosartículosconelojodeunatacante:

• vistainternade(rota/defectuosa/jimmied?)bloqueosy/onombresdemarcaútilesparalosenfoquesdeinvestigación
• sugerenciassobrelaubicación(estopodríaserrelevanteparadeterminarsiestásdevacacionesenelextranjeroycalcularcuántotiempoestarávacantetucasa)
• artículosvaliosos(podríandarideasalaspersonassobreellososobresuriqueza,quetambiénpodríandarideasalaspersonas)
• discrepanciasentreloquesemuestrayloqueledijoacualquieraquepudieraconocer,comoempleador, insurance company , otro (s) significativo (s), etc.

Al menos una vez, algunos meses después de que se publicó esta respuesta, el último caso realmente sucedió .

Hay dos escenarios diferentes. Esta sería una pregunta válida si el teclado se usa solo para escribir la contraseña. Un teclado numérico en una puerta, eso es algo que no debes publicar en las redes sociales. Pero puede argumentar esto diciendo que hay caracteres especiales en su teclado que pueden incluirse en sus credenciales, porque normalmente no usamos esos caracteres mucho en el trabajo diario. Así que es mejor que eches un vistazo a tu teclado antes de publicar fotos en las redes sociales :)

Solo si el único propósito del teclado es escribir una contraseña.

De lo contrario, encontrará que las teclas que se usan con más frecuencia, como las vocales, WASD y los modificadores también tendrán manchas de aceite y signos de desgaste. Se vuelve especialmente más difícil si la contraseña es una frase de contraseña que contiene lenguaje natural.

La mayor diferencia está en la escala. Un teclado en una cerradura generalmente solo se usa para escribir la contraseña, por lo que las claves de contraseña son las únicas que se usan y usan. "Cualquier teclado dado" generalmente se usa para mucho más que solo escribir contraseñas.

Hay muchos otros ataques utilizados en los teclados: las cámaras de video lo ven ingresar a su pin, detección de calor (flir) o incluso usar polvo de huellas dactilares para ver las teclas más utilizadas. (Gracias Brian Brushwood)

Lucho contra esto usando mis primeros tres dedos para cubrir toda la fila de números, y paso y toco cada tecla, sin importar si está en el combo.

Es necesario aclarar el término "teclado". Si tomas una foto de mi teclado, estoy escribiendo este texto. Seguramente notarás algunos patrones y letras faltantes de mi escritura. Pero tenga en cuenta que la mayoría de las veces estos teclados no se utilizan para ingresar contraseñas. Normalmente, usted prefiere obtener un mapa de calor de los caracteres de uso frecuente para un determinado lenguaje natural. P.ej. mis a , c , e y n ya no están visibles.

Pensé en mis contraseñas. Cuando uso el lenguaje natural para formar palabras complejas en él, por supuesto tiendo a usar los caracteres más comunes para mi idioma. Cuando uso o me veo obligado a usar caracteres especiales, etc. casi no se usan en otros escenarios.

Ahora que está hablando de teclados de seguridad, cuyo propósito es ingresar una contraseña, la respuesta es "quizás". Si muchas personas usan una sola contraseña en todas partes, entonces, por supuesto, los patrones serán visibles a lo largo del tiempo y debería ser posible crear permutaciones de los dígitos o caracteres utilizados. Sin embargo, si muchas personas usan contraseñas diferentes en este teclado, solo verás los patrones de los dígitos o caracteres utilizados con frecuencia.

Esto reducirá el espacio de búsqueda, pero puede que no sea suficiente para obtener la contraseña, ya que puede haber otros medios de protección, por ejemplo. bloquear el bloqueo después de n intentos fallidos.

Creo que sería posible reducir de manera significativa el conjunto de búsqueda, pero depende en gran medida de la resolución de la imagen y del estado de desgaste del teclado. Con un teclado visiblemente gastado o sucio (la suciedad en el borde de las teclas podría tener el mismo propósito), primero establecería el posible alfabeto, con cada tecla ponderada en 1.0. Luego establecer una línea de base. Analice MUCHAS fotos de teclados para las que ya conoce la contraseña, y pese las teclas más utilizadas a nivel mundial para una cultura específica inferior al resto. Este proceso reducirá el peso de las vocales por ejemplo. Luego, reduzca el alfabeto eliminando las claves menos utilizadas (ya que es probable que se escriba una contraseña con relativa frecuencia) y prepare un diccionario con las claves que le quedan.

Todo esto es bastante inútil, sin embargo, hay formas mucho más fáciles de piratear a alguien que forzando su contraseña. Siempre que utilice una contraseña relativamente larga (más de 8 caracteres) e incluya símbolos, mayúsculas y minúsculas, y números, hay muy pocas posibilidades de que alguien obtenga su contraseña con la fuerza bruta.

En cuanto a los teclados, consideraría esto como una preocupación menor a menos que estuviera usando la misma contraseña para todo. Si está utilizando una contraseña diferente para todo y la cambia de manera regular con regularidad, probablemente esté bien. Agregue esto al hecho de que si usa el teclado para otras cosas, obtendrá un patrón de desgaste muy diferente al de P A S W O R D siendo usado, probablemente no tengas mucho de qué preocuparte.

Si, como yo, eres un ávido jugador de FPS (y, a diferencia de mí, tienes una contraseña para todo) para cuando las personas puedan usar tu clave de acceso, tus teclas WSAD también se usarán. Probablemente estés bien.

Dicho esto, cambie sus contraseñas regularmente y use un generador aleatorio para crear contraseñas aleatorias memorables . El Dice PassPhrase Generator es un buen lugar para comenzar. Con un poco de magia de Excel, puede crear su propio generador de contraseñas basado en estos principios y contraseñas aleatorias memorables.