Unbekanntes Risiko bei der Eingabe von Passwörtern aufgedeckt

18. Juli 2018

Kalifornische Wissenschaftler haben einen neuen Weg gefunden, Passwort-Eingaben auslesen zu können, ohne eine spezielle Software auf dem System installieren oder in das Netzwerk des Unternehmens eindringen zu müssen.

Ausreichend ist eine Wärmebildkamera, mit der die Tastatur gefilmt wird. Die Wissenschaftler der Universität von Kalifornien haben festgestellt, dass bis zu einer Minute nach Eingabe der Passwörter die gedrückten Tasten noch zu erkennen seien, insbesondere dann, wenn die  Nutzer die nur mit zwei Fingern statt mit dem Zehn-Finger-System schreiben. In diesen Fällen sind die Wärmeabdrücke bei dieser langsameren Eingabemethode häufig größer und damit für Angreifer einfacher wieder herzustellen.

Die Gefahr ist deshalb so groß, da kein besonderes Fachwissen für die Erkennung der Eingabe notwendig ist und selbst Laien nach einer kurzen Einweisung aus den Bildern auf korrekte Eingabe von Passwort-Fragmenten schließen konnten. Außerdem sei diese Technik unkompliziert und deutlich günstiger als andere Angriffsversuche auf die Infrastruktur eines Netzwerkes. Es ist lediglich eine freie Sicht mit der Kamera auf die Tastatur erforderlich.

Bei dieser Passwort-Rekonstruktion spielen die Stärke des Passworts und andere Maßnahmen, wie etwa spezielle Filter, die den Blick auf den Bildschirm erschweren, keine Rolle mehr.

Um nicht Opfer dieser neuen Methode zu werden, empfehlen die Wissenschaftler nach der Eingabe von sensiblen Informationen mit der Hand über die Tastatur zu streichen oder willkürliche Tastenkombinationen einzugeben. Eine weitere Möglichkeit bestünde in der Nutzung einer Bildschirmtastatur.

Diese neue ungewöhnliche Methode für das Ausspähen von Tastatureingaben zeigt auf, dass Passwörter eine Schwachstelle in jedem Sicherheitskonzept darstellen.

Die Zwei-Faktor-Authentifizierung würde eine größere Sicherheit bieten, da diese Möglichkeit den Zugriff auf ein System nicht von der Eingabe eines Passworts abhängig macht.

 

Kategorien: Allgemein · Hackerangriffe
Schlagwörter: , ,