حمله حرارتی: تشخیص رمز عبور بر اساس گرمای به‌جامانده از انگشتان

پژوهشگران امنیت کامپیوتر خبر از ساخت سیستم مجهز به هوش مصنوعی داده‌اند که می‌تواند با تشخیص گرمایی که هنگام ورود رمز از انگشت‌ها روی صفحه به جای می‌ماند، رمز عبور کامپیوترها و گوشی‌های همراه را در عرض چند ثانیه حدس بزند.

پژوهشگران علوم کامپیوتر دانشگاه گلسگو قصد داشتند، تا با ساخت این سیستم که ThermoSecure نام دارد، به این واقعیت اشاره کنند که کاهش قیمت دوربین‌های حرارتی و گسترش دسترسی به الگوریتم‌های یادگیری ماشینی و هوش مصنوعی مسیر را برای «حملات حرارتی» هموار کرده است.

دوربین‌های حرارتی می‌توانند از کیبورد کامپیوتر، صفحه گوشی همراه یا کلیدهای دستگاه خودپرداز عکس بگیرند، تا رد گرمای ناشی از لمس انگشتان را نشان دهند و از این طریق، در تشخیص رمز عبور موفق عمل کنند. در تصاویر حرارتی، ناحیه‌ای که روشن‌تر است، به‌تازگی لمس شده است؛ بدین ترتیب، با تحلیل این نوع تصاویر می‌توان رمز عبور را کشف کرد.

مطالعات قبلی پژوهشگران دانشگاه گلسگو روی حملات حرارتی حاکی از این بود که افراد غیرمتخصص می‌توانند با نگاه به تصاویر حرارتی، رمزهای عبور موجود در آن‌ها را حدس بزنند. اکنون پژوهش جدید نشان داده است که با استفاده از هوش مصنوعی خیلی سریع‌تر می‌توان به تشخیص رمز عبور دست یافت.

طی آزمایشات که از ThermoSecure برای تحلیل تصاویر استفاده شد، 86 درصد از رمزهای عبور طی 20 ثانیه، 76 درصد طی 30 ثانیه و 62 درصد  طی 60 ثانیه آشکار شدند.

هرچه رمز عبور طولانی‌تر بود، تشخیص رمز عبور با این روش دشوارتر می‌شد؛ با این حال، حتی بیشتر این رمزها هم در نهایت مشخص شدند. ThermoSecure توانست دو سوم از رمزهای عبوری را که حداکثر 16 حرف داشتند، کشف کند. در این میان، هرچه رمز عبور کوتاه‌تر بود، میزان موفقیت سیستم بیشتر می‌شد: 82 درصد از رمزهای 12 حرفی و 93 درصد رمزهای 8 حرفی تشخیص داده شدند. ThermoSecure توانست تمام رمزهای عبوری را که از 6 حرف یا کمتر تشکیل شده بودند، تشخیص دهد. این یافته‌ها نشان می‌دهند پین‌کدهای خودپردازها و رمزهای کوتاه گوشی‌های همراه در برابر حملات حرارتی بسیار آسیب‌پذیر هستند.

راهکار مهاجمان رمز برای قربانیان

راهکار مهاجمان این‌گونه است که آن‌ها می‌توانند با تکیه بر این تکنیک هوشمندانه، از صفحه گوشی، کیبورد کامپیوتر یا صفحه خودپرداز قربانی‌هایشان تصویر حرارتی بگیرند، تا برای تشخیص رمز عبور موفق شوند.

گاهی اوقات، لازم است، تا به کامپیوتر یا دستگاه قربانی دسترسی داشت؛ اما در موارد دیگر، مهاجم نام کاربری قربانی را می‌داند و وقتی با حملات حرارتی رمز عبورش را هم کشف کرد، می‌تواند به‌راحتی به حساب کاربری‌اش دسترسی پیدا کند.

محمد خمیس، جان ویلیامسون و نورا الطیبی نویسندگان این مقاله هستند که قصد دارند با توضیح در مورد حملات حرارتی، خطراتش را گوشزد کنند.

خمیس توضیح می‌دهد: «در حال حاضر، دوربین‌های حرارتی کمتر از 200 دلار قیمت دارند. از سوی دیگر، دسترسی‌پذیری یادگیری ماشینی هم هر روز بیشتر می‌شود. به همین دلیل، احتمال ساخت سیستم‌هایی مشابه ThermoSecure برای تشخیص رمز عبور افزایش می‌یابد. آنچه اهمیت دارد این است که متخصصان امنیت کامپیوتر خود را با سرعت این پیشرفت‌ها همگام نگه دارند و به دنبال راه‌های جدید برای رفع خطرات باشند. ما هم سعی می‌کنیم فناوری‌های جدید توسعه دهیم، تا همیشه یک گام جلوتر از راهکار مهاجمان باشیم.»

با این حال، علی‌رغم پیشرفته بودن تکنیک‌هایی که برای سرقت رمز عبور وجود دارند، کاربران می‌توانند به‌آسانی، یعنی با انتخاب رمزهای قوی‌تر، از اطلاعات خود محافظت کنند.

خمیس در انتها اضافه می‌کند: «رمزهای عبور طولانی‌تر کار را برای دوربین‌های حرارتی سخت‌تر می‌کند. احراز هویت بیومتریک هم امنیت را بالا می‌برد. کاربران می‌توانند با تکیه بر روش‌های احراز هویت دیگر، مثل اثر انگشت یا تشخیص چهره، به امنیت دستگاه‌های خود بیفزایند، چون این روش‌ها در برابر حملات حرارتی مقاوم‌تر هستند.»

جدیدترین اخبار هوش مصنوعی ایران و جهان را با هوشیو دنبال کنید