“Bẻ khóa” mật khẩu chưa đầy 1 phút
Các chuyên gia bảo mật đã phát triển được một hệ thống có thể “bẻ khóa” mật khẩu chỉ trong vài giây bằng cách theo dõi vết tích nhiệt độ do các ngón tay để lại trên bàn phím và màn hình.
Cụ thể, các nhà nghiên cứu đến từ Đại học Glasgow (Anh) đã phát triển một hệ thống có tên gọi là ThermoSecure nhằm mục đích chứng minh rằng những camera ảnh nhiệt sẵn có và rẻ tiền, kết hợp với sự phổ biến ngày càng nhiều của máy học (machine learning) có thể gây ra những rủi ro mới dưới dạng “tấn công nhiệt” như thế nào.
Các nhà nghiên cứu cho biết, tấn công nhiệt có thể xảy ra sau khi người dùng nhập mật khẩu của họ trên bàn phím máy tính, màn hình điện thoại thông minh hoặc bàn phím máy rút tiền tự động (ATM) rồi sau đó để thiết bị không được bảo vệ.
“Một người qua đường vô tình” nào đó, nếu sở hữu camera ảnh nhiệt thì họ có thể nhìn thấy tín hiệu nhiệt cho biết vị trí các ngón tay đã chạm vào thiết bị.
Bằng cách đo hơi nóng tương đối ở những vị trí ấm hơn, họ có thể xác định các chữ cái, chữ số hoặc ký hiệu cụ thể tạo nên mật khẩu. Sau đó, những kẻ tấn công có thể thử các cách kết hợp khác nhau để bẻ khóa mật khẩu.
Công trình nghiên cứu về ThermoSecure có tựa đề “Khảo sát tính hiệu quả của các cuộc tấn công nhiệt dựa trên AI ở những bàn phím máy tính hay được sử dụng” đã được xuất bản trên Tạp chí ACM Transactions on Privacy and Security.
Một hình ảnh nhiệt cho thấy dấu vết nhiệt do đầu ngón tay để lại trên bàn phím mà các nhà nghiên cứu cho rằng có thể được sử dụng để bẻ khóa mật khẩu. Ảnh: Đại học Glasgow
Khuyến cáo từ chuyên gia
Trong bài báo khoa học nêu trên, trưởng nhóm nghiên cứu - tiến sĩ Mohamed Khamis cùng các cộng sự của ông là Norah Alotaibi và tiến sĩ John Williamson đã trình bày tường tận cách họ chụp 1.500 bức ảnh nhiệt ở các bàn phím QWERTY được sử dụng gần đây từ nhiều góc độ khác nhau rồi sau đó hướng dẫn một mô hình AI (trí tuệ nhân tạo) đọc hình ảnh và đoán mật khẩu dựa trên manh mối chữ ký nhiệt.
Nhóm nghiên cứu phát hiện ra rằng ThermoSecure có thể phơi bày tới 86% mật khẩu khi chụp ảnh nhiệt trong vòng 20 giây, 76% khi chụp trong vòng 30 giây và giảm xuống 62% sau 60 giây.
“Việc tiếp cận được với camera ảnh nhiệt có giá cả phải chăng đang dễ dàng hơn bao giờ hết - chúng có thể được mua với giá dưới 200 bảng Anh. Còn máy học cũng đang ngày càng trở nên dễ tiếp cận hơn”, tiến sĩ Khamis, thuộc Trường Khoa học Máy tính của Đại học Glasgow cho biết.
“Điều đó cho thấy, trên thế thới có thể có nhiều người cũng đang phát triển các hệ thống tương tự như ThermoSecure để phục vụ mục đích đánh cắp mật khẩu”.
Tiến sĩ Khamis khuyến cáo: “Một vấn đề quan trọng đặt ra là công tác nghiên cứu bảo mật máy tính phải bắt kịp với những phát triển này để tìm ra những cách thức bảo vệ mới nhằm giảm thiểu rủi ro. Chúng tôi sẽ tiếp tục phát triển công nghệ của mình để cố gắng đi trước những kẻ tấn công một bước”.
Các nhà nghiên cứu cũng xem xét các biến bổ sung giúp ThermoSecure đoán mật khẩu dễ dàng hơn. Ảnh: Đại học Glasgow
Nhóm nghiên cứu kêu gọi các nhà hoạch định chính sách cần phải hành động sớm, nhất là đưa ra các biện pháp khả thi liên quan đến việc bán camera ảnh nhiệt và công nghệ bảo mật có trong phần mềm tương ứng.
Các nhà nghiên cứu của dự án ThermoSecure cũng đưa ra các đề xuất cho người dùng máy tính và điện thoại thông minh để giúp bảo vệ khỏi các cuộc tấn công nhiệt.
“Mật khẩu dài hơn thì ThermoSecure càng khó đoán chính xác, vì vậy chúng tôi khuyên bạn nên sử dụng cụm mật khẩu dài bất cứ khi nào có thể”, Tiến sĩ Khamis giải thích.
“Các cụm mật khẩu dài hơn sẽ mất nhiều thời gian nhập hơn, điều này cũng khiến việc đọc chính xác trên camera ảnh nhiệt trở nên khó khăn hơn, đặc biệt với máy cảm ứng”.
Người dùng cũng có thể nâng cao khả năng bảo mật thiết bị bằng các phương pháp xác thực thay thế, gồm cả vân tay hoặc nhận dạng khuôn mặt.