格拉斯哥大学的一组计算机安全专家提出了一套建议,以帮助抵御可能窃取个人信息的“热攻击”.
热攻击使用热敏摄像头读取智能手机屏幕等表面上留下的指纹痕迹, 电脑键盘和密码板.
黑客可以利用最近接触过的物体表面的热迹的相对强度来重建用户的密码.
去年,Dr。. 来自格拉斯哥大学的穆罕默德·哈米斯和他的同事们开始展示热图像如何轻易地被用来破解密码.
该团队开发了ThermoSecure, 该系统利用人工智能扫描热迹图像,并在几秒钟内正确猜出密码, 提醒许多人注意热攻击的威胁.
现在,博士. 哈米斯和他的同事们对现有的计算机安全策略进行了第一次全面的回顾, 并调查了用户对如何在自动取款机或交通售票机等公共支付设备上防止热攻击的偏好.
他们的研究将以论文的形式在世界科学大会上发表 USENIX安全研讨会 在阿纳海姆, 加州, 8月11日星期五, 还包括对制造商如何使其设备更安全的建议. USENIX Security被广泛认为是计算机安全和网络安全领域的主要会议之一.
该团队在之前的计算机安全论文中确定了15种不同的方法,可以降低热攻击的风险.
其中包括减少用户手部热量传递的方法, 戴上手套或橡胶顶针, 或者在打字前通过触摸一些冷的东西来改变手的温度.
文献中提出的方法还包括将手压在物体表面,或者对着物体呼吸,以掩盖他们打完字后指纹的热度.
其他提高安全性的建议主要集中在硬件和软件上. 表面后面的加热元件可以消除手指的热量痕迹, 或者可以用散热更快的材料制作表面.
公共场所的安全可以通过引入一个物理防护罩来加强,防护罩可以覆盖钥匙直到热量消散. 另外, 眼球追踪输入或生物识别安全可以降低热攻击成功的风险.
在研究了现有的安全措施之后, 该团队对306名参与者进行了在线调查. 该调查旨在确定用户在团队确定的策略中的偏好, 同时询问他们在使用银行自动取款机等公共设备时可能采取的安全措施.
Dr. 格拉斯哥大学计算机科学学院的穆罕默德·哈米斯领导了这项研究. 他说, “这是针对热攻击的安全措施的首次全面文献综述, 我们的调查显示了一些有趣的结果. 直观地, 用户提出了一些文献中没有的策略, 比如等到周围环境看起来最安全时再使用自动取款机. 他们也热衷于已经熟悉的策略, 比如双因素身份验证, 因为他们知道自己的有效性.
“我们还看到他们考虑卫生等问题, 这使得用设备呼吸以掩盖热痕迹的策略非常不受欢迎, 和隐私, 一些用户在考虑面部或指纹识别等额外安全措施时考虑的是什么.”
论文最后就如何在公共场合抵御热攻击向用户提出了建议, 以及设备制造商如何在未来几代硬件和软件中内置安全措施.
教授. 卡罗拉·马基,是一名博士后研究员. 在格拉斯哥大学的Khamis团队进行的这项研究中, 现在是德国波鸿鲁尔大学的教授, 是论文的通讯作者吗. 她说, “用户告诉我们,他们认为自己至少对自己的安全负有部分责任, 因此,我们建议他们在公共场合输入敏感数据时要密切注意周围的环境,以确保没有人看到, 或者使用安全的设施,比如银行. 那是不可能的, 我们建议将手掌放在设备上,以掩盖热量的痕迹, 或者尽可能戴上手套或护手指.
“我们还建议用户尽可能使用多因素身份验证,因为它可以防止一系列不同的攻击,包括热攻击, 并尽可能保护所有认证因素.”
论文合著者Dr. 来自格拉斯哥大学计算机科学学院的Shaun Macdonald是Dr. 哈米斯队. 他说, "对于公共场所使用设备的制造商, 我们建议在设计阶段尽早考虑热攻击, 所以这些设备可以用物理屏幕来增强,在短时间内阻挡表面, 或者增强隐私的键盘,在使用后打乱键的布局. 哪些设备已经在流通, 软件更新可以帮助提醒用户注意周围环境,并采取措施防止热像仪的观察.”
Dr. 哈米斯补充说, “我们最后的建议是给热像仪制造商, 谁能通过集成新的软件锁来阻止热像仪拍摄银行机器上的密码板之类的表面来阻止攻击呢.
“我们将继续探索降低热攻击风险的潜在方法. 尽管目前我们还不知道这些针对个人信息的攻击有多普遍, 重要的是,计算机安全研究人员要跟上热像仪可能给用户个人信息带来的风险, 尤其是因为它们现在如此便宜,而且随处可见.
“最终, 我们给公众的建议是,试着找到一种适合自己个人习惯和行为的策略,并记住在生活中尽可能多地使用它. 他们可以定期采取的任何有助于防止热攻击的行动,都将使其他人更难获得他们的个人数据.”