Domanda:
L'immissione della password registrata sulla fotocamera è un problema realistico?
davnicwil
2018-11-08 21:42:14 UTC
view on stackexchange narkive permalink

Vivo in una città in cui la copertura delle telecamere a circuito chiuso è ampia e in aumento. Le fotocamere stanno diventando più economiche e con una risoluzione più alta. Tutti hanno già una videocamera in tasca e stiamo iniziando a vedere tendenze che indicano che le videocamere sempre accese potrebbero diventare comuni in altri dispositivi come gli occhiali.

Mi è venuto in mente, quando sono in pubblico e inserisco il mio nome utente / password nelle app sul mio telefono e laptop, che se una fotocamera potesse catturare sia il mio schermo che la mia tastiera, potrebbe essere abbastanza semplice da afferrare per uno spettatore o indovina le mie credenziali dal filmato assumendo un'immagine ad alta risoluzione e la vista non sia (troppo) oscurata.

Senza entrare troppo nei dettagli di come sarebbe implementato, l'accuratezza e il costo ecc. Ho un background nell'elaborazione delle immagini e quindi sono anche consapevole che questo sarebbe probabilmente automatizzabile almeno in una certa misura.

Quindi ho pensato di chiedere alla comunità qui se questo è effettivamente un rischio praticabile? Ci sono già stati casi noti di ciò che accade? Le persone stanno pensando a questo riguardo alla fattibilità dell'inserimento di credenziali di testo in chiaro nelle app a lungo termine?

L'immissione di credenziali in pubblico è sempre un rischio.
Correlati: [Snowden's Blanket] (https://security.stackexchange.com/q/82362/44336) - Non userebbe la coperta se non ci fosse il rischio di vederlo digitare.
Dai un'occhiata a TOTP - Password monouso basate sul tempo.Tipicamente usati per 2FA, puoi usarli anche come unico fattore.Ho alcuni server configurati che accettano entrambi per SSH.
Ebbene, la mia banca (contro il mio esplicito consenso) pagherà fino a 50 € per transazione senza che la mia carta venga mai inserita in un lettore, utilizzando solo un po 'di merda di transponder wireless e senza che venga fornito alcun token di sicurezza.Quindi, vedendo come il mio telefono sudcoreano si sblocca sulla mia impronta digitale e mantiene crittografato il mio _super importante_ hardware per la password di Instagram, vedo che la scrematura della password è il più piccolo dei due problemi.
Chi è il tuo avversario nel modello di minaccia?Il governo ha moltissime telecamere, ma non è necessario che tu sveli la tua password per spiarti.
"Chi è il tuo avversario?" - chiunque abbia accesso alle riprese della telecamera
Usa 2FA.Allora non importa.OTOH, che è davvero solo protezione da surfisti e skimmer (reali e virtuali) non fa nulla per fermare i governi o le persone con risorse che potrebbero compromettere le cose sul lato server rendendo irrilevante qualsiasi cosa tu faccia.Inoltre, è davvero solo una preoccupazione se una telecamera è configurata specificamente per guardare le persone che fanno una cosa particolare come inserire i PIN ATM.Una normale telecamera di sorveglianza a 30 'su un palo a 100' di distanza non sarà di grande aiuto per indovinare il tuo PIN
Sto cominciando a pensare che l'opzione casuale di Android "non puoi usare l'impronta digitale, devi inserire la password ora" è stata implementata specificamente per quei CCTV per catturare la tua password.
* chiunque abbia accesso al filmato della telecamera * Mi dispiace, ma è roba da pensare troppo.Dubito che un dipendente a caso di una società che gestisce la CCTV cittadina sia interessato a te a caso.Quindi, di nuovo ** definisci il tuo modello di minaccia **.Al momento stai ricevendo risposte dappertutto perché non l'hai fatto.
Sei risposte:
#1
+173
schroeder
2018-11-08 21:46:33 UTC
view on stackexchange narkive permalink

Molti esempi. Un esempio recente e di alto profilo è quando Kanye è stato sorpreso dalla videocamera mentre digitava la sua password "00000" per sbloccare il suo dispositivo.

La navigazione a spalla è uno dei motivi per cui le applicazioni non vengono visualizzate il testo della password sullo schermo, ma mostra invece ****** .

E questo è uno dei motivi per cui l'autenticazione a più fattori è così importante; anche se conosci la password, non puoi usarla senza un altro fattore.

Ho anche visto ricerche valide per catturare il suono della tastiera quando un utente digita il password, anche tramite il microfono del computer.

Quindi, sì, descrivi un rischio praticabile che l'industria sta affrontando da molto tempo. Le specifiche delle fotocamere ad alta risoluzione non sono un nuovo fattore abbastanza significativo da considerare. La navigazione a spalla e i keylogger sono un rischio attuale.

Il settore sa che ha bisogno di sviluppare qualcosa meglio delle password e ci sono molti tentativi attivi in ​​tal senso, ma nulla è maturo o abbastanza stabile ancora.

Aggiungerei anche che c'è stato un caso in cui è stata scattata una foto ad alta risoluzione di un dito e utilizzata per creare un'impronta digitale replica e utilizzata per aprire la biometria di un telefono.Quindi, sì, le telecamere sono una minaccia.
Penso che il nuovo fattore con le fotocamere sia il potenziale di scala sia attraverso l'acquisizione passiva più ampia che l'automazione
@davnicwil sì, anche questo è un buon punto.Durante la progettazione del posizionamento della fotocamera in un edificio per uffici, abbiamo dovuto eseguire una serie di calcoli sui rischi di catturare le persone che digitavano.Quello che sto dicendo è che lo spazio problematico è tutt'altro che nuovo.
@schroeder Perché metti le telecamere in un edificio per uffici?In Italia è un crimine registrare i dipendenti sul posto di lavoro.Puoi mettere telecamere * all'ingresso *, ma solo registrare una stanza dell'ufficio è illegale senza alcuna motivazione speciale e l'approvazione del "Garante della privacy" della città.Questo risolve il problema alla fonte.Ovviamente qualcun altro potrebbe provare a mettere una telecamera nascosta, ma è vero ovunque e in qualsiasi momento.
@Bakuriu Potrei suggerire umilmente che non tutti vivono in Italia.Soprattutto nei casi in cui un'azienda dispone di informazioni sensibili da proteggere o di merci di valore elevato, è possibile garantire un'ulteriore videosorveglianza per ridurre al minimo responsabilità e rischi.
@DoktorJ Questo era un esempio.Il punto è: il numero di situazioni in cui si installano telecamere per registrare i dipendenti sui loro computer ** in un ufficio ** è estremamente raro, poiché l'ufficio stesso dovrebbe essere un luogo controllato fisicamente.Se hai estranei / clienti ecc. Che vanno e vengono tutto il tempo, questo non è "solo un ufficio" nella mia mente e pone requisiti di sicurezza diversi.
@bakuriu la risposta è semplicemente che c'era un'esigenza aziendale e non c'erano ostacoli per farlo come abbiamo fatto noi
@schroeder Le foto ad alta risoluzione delle impronte digitali è il motivo per cui le identità biometriche dovrebbero essere sempre considerate un _username_, non una password.Dopo tutto, non sono segreti.
In qualche modo dubito che il codice di accesso di Kanye sarebbe stato effettivamente una barriera per un utente malintenzionato in grado di ottenere l'accesso al telefono ... =)
@Bakuriu ma considera una situazione di vendita al dettaglio: il personale inserisce le password del supervisore (che gli operatori TVCC non dovrebbero conoscere), i clienti sbloccano i dispositivi per pagare con NFC, ecc. Un ufficio è solo un ambiente
* La navigazione a spalla è ** uno ** dei motivi per cui le applicazioni non visualizzano il testo della password sullo schermo * (enfasi mia) - per curiosità, ne conosci altri?(forse screenshot, come ripensamento)
-1
Sì, anche questo era il mio pensiero - che sarebbe stato più chiaro se avessi potuto effettivamente scrivere correttamente ("screenscating" nel mio commento doveva essere "screencasting" :))
@schroeder wooow hai una fonte facilmente accessibile per quel caso di replica delle impronte digitali?Google ha trovato alcuni casi di qualcuno che realizzava uno stampo con l'aiuto del proprietario del telefono, ma non da una fotografia.
Ricordo di aver visto un white paper sull'utilizzo dell'accelerometro di un dispositivo mobile per raccogliere dati sufficienti a recuperare le battiture (sullo stesso dispositivo o su un altro dispositivo seduto su un tavolo, iirc).[Ecco un articolo che ho potuto trovare facilmente] (https://www.techradar.com/news/scientists-find-a-way-to-crack-your-phones-password-using-just-the-accelerometer).
Ricordo di aver letto qualcosa sul video tratto da una finestra di un oggetto lucido (come una teiera) utilizzato per vedere cosa veniva digitato e mostrato sullo schermo di un utente.Penso che questo sia teoricamente possibile usando i riflessi degli occhiali e forse anche degli occhi.Il punto è che la telecamera potrebbe non aver bisogno di essere dietro di te.
@LordFarquaad Penso che questo sia il caso a cui si riferiva: https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands
#2
+55
BlueRaja - Danny Pflughoeft
2018-11-09 05:07:54 UTC
view on stackexchange narkive permalink

Come altro esempio, ecco alcune immagini da KrebsOnSecurity su ATM Skimmers (dispositivi utilizzati per rubare le credenziali ATM)


Camera 1 Telecamera nascosta dietro il frontalino dello sportello automatico ( fonte)

Camera 2 Videocamera nascosta incollata all'angolo dello sportello automatico ( fonte)

Camera 3 Telecamera nascosta su falso pannello di ATM ( fonte)


Quindi sì, è una preoccupazione del mondo reale.

Vorrei sottolineare che le due immagini ATM sono diverse anche in altri modi.Ad esempio, lo slot per schede a destra nel bancomat sembra essere cambiato tra le due immagini.Sembra che ci sia una sorta di slot per schede sporgente nella seconda immagine.Cos'è questo?
@fortunate_man E 'lo schiumatoio vero e proprio che registra i dati sulla banda magnetica della carta.È quello che vuoi effettivamente cercare quando usi un bancomat, dal momento che il tuo PIN è inutile senza di esso, ma il contrario non è necessariamente vero.
Sono sorpreso che tu non abbia incluso https://krebsonsecurity.com/2012/09/a-handy-way-to-foil-atm-skimmer-scams/, che risponde molto più direttamente alla domanda.
#3
+17
rackandboneman
2018-11-09 04:05:23 UTC
view on stackexchange narkive permalink

Inoltre, sono stati segnalati casi in cui le termocamere sono state utilizzate per estrarre un PIN o una password da una tastiera appena utilizzata per inserirla: più caldo è un tasto, se il tempo di contatto con le dita è quasi uguale (il calore assorbe ... ), più recentemente è stato premuto. Questo potrebbe non presentare la password su un piatto d'argento a causa di chiavi duplicate, diversi tempi di permanenza delle dita, ma può restringere notevolmente le possibili password.

La mia serratura cinese relativamente economica ha un (non so se è intenzionalmente o è appena successo) che scoraggia i surfisti: solo la prima e l'ultima n cifra contano.Quindi, se il codice è 1234, se sospetti che qualcuno stia guardando, potresti inserire 124579413245430234 e la maggior parte dei ficcanaso avrebbe perso la traccia delle tue chiavi per allora.Tutti i tasti avrebbero anche la stessa temperatura e untuosità.
@Lenne ma se qualcuno può (segretamente?) Registrarti due o più volte, invece di limitarti a navigare a spalla, non può capire il codice effettivo confrontando pochi input?:)
Certo, ma anche se qualcosa non è protetto al 100%, tutto ciò che lo rende più difficile ne fermerà alcuni e ritarderà il resto
@Lenne quel blocco potrebbe essere molto migliorato non accettando una combinazione di numeri inserita ESATTA per diversi tentativi ....
[Termocamera e PIN] (https://youtu.be/8Vc-69M-UWk?t=21) (puoi modificare la tua A, includere il link e contrassegnare il mio commento come obsoleto)
Penso che anche le tracce di sbavature sugli schermi degli smartphone rientrino in questa categoria
Se stiamo parlando di tastiere fisiche piuttosto che touchscreen, dovrebbe essere possibile contrastare una termocamera toccando delicatamente (per alcuni secondi) alcuni o tutti gli altri tasti dopo aver inserito il PIN, oscurando eventuali differenze di temperatura rivelatrici.
@Lenne Sono curioso di sapere che marca di serratura hai.La maggior parte disponibile negli Stati Uniti sembra prendere solo 4 cifre.
@Lenne Fatto divertente: puoi fare una cosa simile con gli sportelli automatici (almeno in Germania).Contano solo le prime 4 cifre.Quindi, se il mio PIN è 1234, posso inserire 123485769 e riceverò comunque i miei soldi
#4
+14
Kyle
2018-11-13 07:26:21 UTC
view on stackexchange narkive permalink

Qualcosa che potrebbe aiutarti: prendi l'abitudine di "premere" alcuni pulsanti oltre alla tua password.

Supponi che la tua password sia 1234. Potresti premere 1 e 2, fingi di premere , diciamo 9, e poi continua con la tua password.

Scoraggia le fotocamere, l'usura dei tasti o gli spettatori. È certamente di basso livello, sì, ma scoraggia le persone che hanno altre 1000 clip di filmati da guardare.

Lo faccio spesso.Essere un dattilografo di tocco aiuta.Metti le dita in posizione e premi i numeri dei pin effettivi tra le pressioni dei tasti falsi come desideri.L'unica pressione del tasto che risalta è la pressione del tasto Invio.
#5
+9
R.. GitHub STOP HELPING ICE
2018-11-09 07:48:34 UTC
view on stackexchange narkive permalink

Sì, e questo è uno dei tanti motivi per cui non dovresti inserire password e per la maggior parte non dovresti nemmeno conoscere le tue password , ad eccezione di una password password principale del gestore e codici di sblocco del dispositivo / passphrase FDE. Per le passphrase FDE, è necessario inserirle solo quando si accende il dispositivo e solo in luoghi privati ​​dove non sono presenti telecamere o osservatori.

I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (https://chat.stackexchange.com/rooms/85594/discussion-on-answer-by-r-is-password-entry-being-recorded-on-camera-a-realista).
#6
+8
Amadeus-Reinstate-Monica
2018-11-10 05:24:25 UTC
view on stackexchange narkive permalink

Direi di sì e non sono necessarie immagini ad alta risoluzione. Parlando come uno statistico, non ho nemmeno bisogno di conoscere la lettera o il numero esatto che hai toccato (su una tastiera a schermo o una tastiera normale), riducendo ogni scelta a 2 o 3 possibili caratteri, in base alla posizione delle tue dita, fa un l'ipotesi elettronica della password è un problema trattabile. Soprattutto proverei probabilmente combinazioni di lettere che formano frammenti di parole; per esempio. ([FR] [EW] [DE]) = "FEE", "FED" o "RED".

Oppure, se i numeri, cercherò combinazioni che compaiono in numeri relativi a te: compleanni, anniversari, per te, coniuge, figli. Il tuo numero di telefono o indirizzo di casa.

Su uno schermo o su una vera tastiera, posso vedere quando passi per caratteri speciali e indovinare cosa sono. E a volte è chiaro quale tasto si preme, a seconda dell'angolazione della telecamera, restringendo una certa posizione esattamente a un tasto. La fotocamera può restringere notevolmente il campo delle possibili password e spesso nell'analisi che valuta il grado di corrispondenza tra le password e le date, la password "giusta" può essere in cima all'elenco dei punteggi.

Per questo motivo , le frasi acronimiche possono aiutare a sconfiggere questo. L'idea è di memorizzare una frase che significa qualcosa per te, come "Se i Seahawks vincono il campionato mi ubriacherò e ballerò una giga". Quindi crea un acronimo: "ITSWTCIGDADAJ". Puoi insegnare a te stesso a sostituire alcune di queste lettere con numeri o caratteri speciali.

Senza conoscere la frase nella tua mente, le lettere della password sono casuali e non correlate, quindi a meno che la fotocamera non possa dire quali tasti hai premuto esattamente , non sarà ancora in grado di indovinare la sequenza corretta cercando corrispondenze con parole o date reali.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...