Frage:
Ist es möglich, das Brute-Force-Erraten eines Passworts durch ein Bild der Tastatur zu verbessern, mit der es eingegeben wurde?
formicophobia
2016-05-13 10:57:51 UTC
view on stackexchange narkive permalink

Ist es eine schlechte Idee, ein Foto Ihrer Tastatur in sozialen Medien zu veröffentlichen?

Kann ich mir ein Foto einer Tastatur ansehen und das Passwort eines Kontos ermitteln?

Angenommen, ein bestimmtes (mehrere) Kennwort (e) ist die am häufigsten eingegebene Zeichenfolge auf einer bestimmten Tastatur:

  • Ist die Auflösung auf dem Foto dieser Tastatur ausreichend, um die meisten zu bestimmen häufig verwendeter Schlüsselsatz durch Analyse der Fettmuster auf ihnen?

  • Wenn ich die am häufigsten verwendeten Schlüssel kenne, ist ein Brute-Force-Angriff jetzt möglich, da ich die einschränken kann Größe des Wörterbuchs?

Diese Frage wurde von einer Zeit inspiriert, als ich eine Tür sah, die durch einen Ziffernblock geschützt war, bei der die Farbe auf drei der Schlüssel fehlte. Die Zimmernummer bestand aus drei Ziffern, von denen keine Farbe auf den jeweiligen Schlüsseln hatte. Es ist nicht überraschend, dass die Kombination die umgekehrte Zimmernummer war.

Nur eine andere Idee: Vielleicht gibt das ** Tastaturlayout ** einen Hinweis darauf, welche Zeichen im Passwort enthalten sind.Englische Benutzer verwenden beispielsweise keine deutschen Umlaute.
Ich möchte nur auf einen Ausreißer bei dieser Methode hinweisen: Gamers.Meine WASD-Schlüssel sind weitaus abgenutzter als alles andere, einschließlich der Leertaste.EDIT: Lesen Sie die Kommentare zu einigen Antworten, andere haben dies erwähnt.
"Basierend auf unserer Analyse ist das Passwort dieses Spielers eine Kombination aus W-A-S-D"
Ich erinnere mich nicht einmal, wann ich ein Passwort für SE / SO / gmail / facebook verwendet habe (musste es eingeben) ... gut für jede Site, wenn dies mattares ist, außer Internetbanking, das ich nicht im Browser speichere, und ich verwende die iOS-App(mit Fingerabdruckauthentifizierung) für int.Bankwesen.Wenn Sie also ein Bild von meiner Tastatur haben, sehen Sie wsad abgenutzt und n, m, p, weil diese Buchstaben von meinen Nägeln "zerkratzt" werden.(Tastatur seit 2008).
http://craphound.com/images/digital-lock-thumb.jpg
Nur eine Anmerkung - das ist nicht zu weit hergeholt!Immerhin [konnten Hacker den deutschen Innenminister Wolfgang Schauble mit einem Fingerabdruck von nur einem Foto reproduzieren.] (Https://www.wired.com/2008/03/hackers-publish/).
Ich habe eine sehr alte Tastatur, und die meisten Buchstaben auf den Tastenkappen in der Startreihe sind abgenutzt.Nur einer dieser Buchstaben ist in meinem Passwort enthalten.(Ich habe gerade mehr Informationen über mein Passwort herausgegeben, als irgendjemand auf meiner Tastatur erkennen kann.)
Ein interessanter alternativer Ansatz ist, dass der Ton jeder Taste Ihr Passwort preisgibt.Spooks (die TV-Show) hat die Tastatur eines Mannes abgehört, ihn per Social Engineering angewiesen, ein voreingestelltes Textblatt einzugeben, und dann konnten sie die Tasten bestimmen, die zu Beginn des Tages in seinem Passwort gedrückt wurden.Das erscheint mir völlig plausibel!
Ich spiele so viel, dass meine W-Taste kaputt ging.Viel Glück.
Um sicherzustellen, dass in einem solchen Bild keine zusätzlichen Informationen zu Ihrem Passwort verloren gehen, sollten Sie das Passwort am besten auch veröffentlichen.
Sieben antworten:
LSerni
2016-05-13 11:52:13 UTC
view on stackexchange narkive permalink

In einigen Fällen können Sie die am häufigsten verwendeten Schlüssel anhand der Abnutzungsspuren erraten. So weiß ich, dass ich anscheinend häufig die Tasten L, M, N, A und E benutze - die Tasten sind jetzt nur noch schwarz, der Buchstabe ist verblasst.

Und eine spezielle Taste wird deutlich häufiger verwendet als die anderen - es sei denn, es ist "{", "}" oder ";" und Sie sind zufällig ein Programmierer - könnten es erlauben, dies in ein Bruteforcing aufzunehmen oder andere auszuschließen (dies ist definitiv NICHT meine Tastatur, aber immer noch):

dirty keyboard - not mine!

Aber die meisten Leute benutzen die Tastatur nicht nur für ihre Passwörter, und das Verschleißmuster wird auch durch die Schlagrichtung, den Winkel und den Druck beeinflusst - Tasten weiter unten auf der Tastatur werden anders gedrückt als die näheren. Die Tasten, die ich schneller trage, scheinen genau unter der Hand zu sein, die sie steuert, und jetzt, wo ich es bemerkt habe, habe ich sie härter getroffen als die anderen (OK, auch ich bin ein schrecklicher Schreibkraft).

Die Tastatur könnte (schwach) darauf hinweisen, was das am häufigsten eingegebene Wort oder Anagramme davon sein könnte. Dies ist jedoch nicht dasselbe wie Ihr Passwort , außer in ganz bestimmten Fällen (z. B. einer Eingabetastatur).

In noch spezifischeren Fällen wie einer wärmeleitenden Eingabetastatur, FIR oder Strong UV-Bilder, die unmittelbar nach dem Tippen aufgenommen wurden, damit Restwärme, Fluoreszenz oder Phasenstörungen durch Hautöle erkannt werden können, können Sie möglicherweise etwas erhalten. Aber ein gewöhnliches Bild vermittelt keine solchen Informationen.

Meine Meinung wäre also, dass Tastaturbilder größtenteils harmlos sind.

Andererseits sehe ich manchmal Post-It mit Buchstaben und Zahlen auf ihnen, die an Monitoren und auf Holzbrettern hinter Selfies angebracht sind, daher würde ich auch sagen, dass es immer eine sehr gute Idee ist, die Fotos zu überprüfen (sowie was auch immer ) Sie posten in den sozialen Medien und betrachten die Waren mit dem Auge eines Angreifers:

  • Innenansicht von (defekten / defekten / jimmied?) Schlössern und / oder Markennamen, die für die Recherche nach Ansätzen nützlich sind
  • Hinweise zum Standort (dies kann relevant sein, um festzustellen, ob Sie im Ausland Urlaub machen, und um zu schätzen, wie lange Ihr Zuhause frei sein wird)
  • wertvolle Gegenstände (können den Menschen Ideen über sie oder über sie geben Ihr Vermögen, das auch den Menschen Ideen geben könnte)
  • Diskrepanzen zwischen dem, was gezeigt wird, und dem, was Sie jedem erzählt haben, der es kennenlernen könnte, wie Arbeitgeber, Versicherungsunternehmen, signifikante andere Person (en) usw.

Mindestens einmal, einige Monate nachdem diese Antwort veröffentlicht wurde, ist der letzte Fall tatsächlich passiert.

Als Spieler habe ich meine WASD-Tasten abgenutzt, zusammen mit der linken Verschiebung und Steuerung und dem Leerzeichen.Viel Glück beim Erraten meines Passworts.
@topher: es ist WasDdASw, nicht wahr?Oder vielleicht IDDQD.
Vor einem Jahr gab es ein sehr öffentliches Beispiel für einen Dokumentarfilm, in dem Menschen an ihrem Arbeitsplatz bei einem französischen Fernsehsender gefilmt wurden, der auch versehentlich Passwörter filmte, die an der Wand hinter ihnen befestigt waren (insbesondere das Passwort ihres YouTube-Kontos).Die Ironie ist, dass es in der Dokumentation um den groß angelegten Cyber-Angriff ging, der am Tag zuvor den Kanal für mehrere Stunden aus der Luft geworfen hatte!Auf Französisch: https://fr.wikipedia.org/wiki/Cyberattaque_contre_TV5_Monde http://www.ladepeche.fr/article/2015/04/10/2084648-tv5-monde-laisse-trainer-mots-passe-devant-Kameras-Journaux-Fernseher.html
@SteveJessop IDDQD.Du hast mich gerade in die Zeit zurückgebracht.:) :)
Vor einigen Jahren habe ich ein Video des italienischen Parlaments gesehen, dessen Sitze von oben und hinten gesehen wurden.Abgesehen von einem Politiker, der Solitaire auf seinem Tablet spielte, loggte sich ein anderer in ihre Post ein.Ihr Tablet * vergrößerte die verwendeten Buchstaben * und die Videoauflösung reichte aus, um sie mit ihrem Namen und einer Nummer (möglicherweise Geburtsdatum?) Als Passwort anzuzeigen.Das Komische war, dass es einige Tage zuvor einen * Skandal * gegeben hatte, bei dem unbekannten Parteien vorgeworfen wurde, die privaten E-Mails dieser bestimmten politischen Gruppe mit * fortgeschrittenen Techniken * durchsucht zu haben.Ja richtig.
@lserni Schulter-Surfen ist eine sehr fortschrittliche Technik, die Sie kennen ...
Hier ist ein Beispiel dafür, warum diese Art von Angriff nicht funktioniert: Bei meiner Arbeit tippe ich viel - und viele Dinge betreffen mein Produkt, das zufällig "Orange" ist.Die Abnutzung meiner Tastatur würde daher das Wort "Orange" anzeigen, sobald Sie diese Buchstaben zu einem Wort dekodiert haben.Unglücklicherweise für den Angreifer lautet mein Passwort, das nur ein- oder zweimal am Tag eingegeben wird, um sich anzumelden, "Banana".
Verdammt, ich konnte mich nicht mit 'emaille' in dein Konto einloggen.
@childofsoong, Das liegt daran, dass ich, nachdem ich festgestellt hatte, dass meine Schlüssel ihren * Zahnschmelz * verloren hatten, versuchte, mein Passwort in * schmutz * zu ändern (obligatorischer xkcd-Link: https://xkcd.com/237/).
@ratchetfreak für unsere Zeitungen ist es sicherlich.Hier sind sie voller EhrfurchtNach dem Diebstahl eines Passworts erhielten die Hacker Zugriff auf * vergangene * E-Mails (E-Mails, die in der Mailbox gespeichert waren, bevor das Passwort gestohlen wurde).Sie kommen zu dem Schluss, dass ... diese Operation * bereits vor der Wahl der Jungs begonnen haben muss *.
Die Tastatur meines 2012 Laptops ist noch nicht abgenutzt
Die Länge des Fingernagels kann eine Rolle dabei spielen, welche Schlüsseletiketten abreiben.Wenn man bestimmte Tasten zerkratzt, sieht es so aus, als würden sie mehr gedrückt als sie sind.
Dilan
2016-05-13 11:52:04 UTC
view on stackexchange narkive permalink

Es gibt zwei verschiedene Szenarien. Dies wäre eine gültige Frage, wenn die Tastatur nur zur Kennworteingabe verwendet wird. Ein Ziffernblock an einer Tür, den Sie nicht in den sozialen Medien veröffentlichen sollten. Sie können dies jedoch argumentieren, indem Sie sagen, dass sich auf Ihrer Tastatur Sonderzeichen befinden, die möglicherweise in Ihren Anmeldeinformationen enthalten sind, da wir diese Zeichen normalerweise nicht häufig in der täglichen Arbeit verwenden. Sie sollten sich also besser Ihre Tastatur ansehen, bevor Sie Bilder in den sozialen Medien veröffentlichen :)

Richtig, der tägliche Gebrauch deckt sicherlich die Buchstaben ab.Ich nehme an, jemand könnte herausfinden, "hmm, Sie sind kein Programmierer, und die Taste" {["auf Ihrer Tastatur ist wirklich staubig, was darauf hindeutet, dass Sie diese Zeichen nicht viel verwenden, aber die Taste"}] "ist nicht".t staubig ", und schließen Sie, dass Sie wahrscheinlich entweder ein"} "oder"] "in mindestens einem Ihrer Passwörter haben.Es gibt also im Prinzip ein Informationsleck, aber wahrscheinlich kein größeres.
Vermutlich würden sie denken, dass die Passwörter jedes C ++ - Programmierers voll sind mit!, &, Und *.PHP-Leute verwenden eine Menge $ in ihren Passwörtern!
@WilliamKappler Nach meiner Erfahrung gibt es viele technisch orientierte Leute, die überraschend einfache Passwörter verwenden (zumindest für Menschen).Ich habe nicht gezählt, wie oft ich einen Entwicklungscomputer oder einen Server mit einem Passwort wie "123456" oder "Passwort" gefunden habe.
@ThalesPereira einfach;Tech-orientierte Peeps wissen, dass Sie, egal welches Passwort Sie verwenden, wenn Sie ein Ziel sind, höchstwahrscheinlich "gehackt" werden ... oder passwd durchgesickert ist usw.
An meiner alten High School half ich bei der Wartung des Computerlabors.Das Root-Passwort des zentralen Servers war "theusual".Es waren fast immer Schüler im Raum, und wenn ein Lehrer das Root-Passwort vergaß und einen Kollegen fragte, konnten sie einfach "das Übliche" antworten, ohne dass die Schüler es bemerkten.Zumindest war das die Absicht, denke ich.(Das war, bevor InfoSec in Schulen zu einer Sache wurde. Oder sogar zu Computern. Das Labor wurde von Freiwilligen bereitgestellt, von Freiwilligen besetzt und von Freiwilligen unterrichtet. Auf dem zentralen Server wurde die brandneue, glänzende Debian 1.1-Version ausgeführt, die Schüler-PCs MS-DOS 6.22. Lustige Zeiten.)
user72066
2016-05-13 23:25:58 UTC
view on stackexchange narkive permalink

Nur wenn der einzige Zweck der Tastatur darin besteht, ein Kennwort einzugeben.

Andernfalls werden häufig verwendete Tasten wie Vokale, WASD und Modifikatoren ebenfalls Ölflecken und Abnutzungserscheinungen aufweisen. Besonders schwierig wird es, wenn das Passwort eine Passphrase ist, die natürliche Sprache enthält.

Genau.Tastaturen, die meist nur für Passwörter (Türschlösser) verwendet werden, sind hierfür sehr anfällig.Vielleicht auch eine Tastatur auf einer Konsole eines Servers.
Stephen Spencer
2016-05-13 17:44:14 UTC
view on stackexchange narkive permalink

Der größte Unterschied besteht in der Größe. Eine Tastatur an einem Schloss wird im Allgemeinen nur zum Eingeben des Kennworts verwendet, sodass nur die Kennwortschlüssel verwendet und getragen werden. "Jede Tastatur" wird im Allgemeinen für viel mehr als nur zum Eingeben von Passwörtern verwendet.

Es gibt viele andere Angriffe auf Tastaturen: Videokameras beobachten, wie Sie Ihre PIN eingeben, Wärmeerfassung ( flir) oder sogar mit Fingerabdruckpulver, um die am häufigsten verwendeten Schlüssel zu sehen. (Danke Brian Brushwood)

Ich bekämpfe dies, indem ich meine ersten drei Finger benutze, um die gesamte Zahlenreihe abzudecken, und ich gehe durch und berühre jede Taste, unabhängig davon, ob sie in der Kombination enthalten ist.

Samuel
2016-05-13 16:02:50 UTC
view on stackexchange narkive permalink

Sie müssen den Begriff "Tastatur" klarstellen. Wenn Sie ein Bild von meiner Tastatur machen, schreibe ich diesen Text. Sie werden sicherlich einige Muster und fehlende Buchstaben bei meiner Eingabe bemerken. Beachten Sie jedoch, dass solche Tastaturen meistens überhaupt nicht zur Eingabe von Passwörtern verwendet werden. In der Regel erhalten Sie eher eine Heatmap der häufig verwendeten Zeichen für eine bestimmte natürliche Sprache. Z.B. Meine a kbd>, c kbd>, e kbd> und n kbd> sind nicht mehr sichtbar.

dachte ich über meine Passwörter. Wenn ich natürliche Sprache verwende, um komplexe Wörter darin zu bilden, neige ich natürlich dazu, die gebräuchlichsten Zeichen für meine Sprache zu verwenden. Wenn ich spezielle Zeichen usw. verwende oder dazu gezwungen bin, werden sie in anderen Szenarien kaum verwendet.

Da es sich nun um Sicherheitstastaturen handelt, deren Zweck die Eingabe eines Kennworts ist, lautet die Antwort "vielleicht". Wenn viele Personen überall ein einziges Passwort verwenden, sind die Muster natürlich im Laufe der Zeit sichtbar und es sollte möglich sein, Permutationen der verwendeten Ziffern oder Zeichen zu erstellen. Wenn jedoch viele Benutzer unterschiedliche Kennwörter auf dieser Tastatur verwenden, werden wieder nur die Muster der häufig verwendeten Ziffern oder Zeichen angezeigt.

Dies verringert den Suchraum, reicht jedoch möglicherweise nicht aus, um die tatsächlich zu erhalten Passwort, da es andere Schutzmittel geben kann, z Sperren der Sperre nach n fehlgeschlagenen Versuchen.

Drunken Code Monkey
2016-05-14 04:05:39 UTC
view on stackexchange narkive permalink

Ich denke, es wäre möglich, den Suchsatz etwas erheblich zu reduzieren, aber dies hängt weitgehend von der Auflösung des Bildes und dem Abnutzungszustand der Tastatur ab. Mit einer sichtbar abgenutzten oder verschmutzten Tastatur (Schmutz am Rand der Tasten könnte denselben Zweck erfüllen) würden Sie zuerst das mögliche Alphabet festlegen, wobei jede Taste mit 1,0 gewichtet wird. Stellen Sie dann eine Grundlinie fest. Analysieren Sie VIELE Fotos von Tastaturen, für die Sie bereits das Kennwort kennen, und gewichten Sie die weltweit am häufigsten verwendeten Tasten für eine bestimmte Kultur niedriger als die anderen. Dieser Prozess reduziert zum Beispiel das Vokalgewicht. Reduzieren Sie dann das Alphabet, indem Sie die am wenigsten verwendeten Schlüssel entfernen (da ein Kennwort wahrscheinlich relativ häufig eingegeben wird), und bereiten Sie ein Wörterbuch mit den verbleibenden Schlüsseln vor.

All dies ist dort jedoch ziemlich sinnlos Es gibt viel einfachere Möglichkeiten, jemanden zu hacken, als sein Passwort brutal zu erzwingen. Solange Sie ein relativ langes Passwort (mehr als 8 Zeichen) verwenden und Symbole, Groß- und Kleinbuchstaben sowie Zahlen enthalten, besteht nur eine sehr geringe Wahrscheinlichkeit, dass jemand Ihr Passwort durch brutales Erzwingen erhält.

Ich bin mir ziemlich sicher, dass das Eingeben von Passwörtern ein vernachlässigbarer Bruchteil dessen ist, was auf einer Allzwecktastatur passiert.Wenn dies der Fall ist, sagt Ihnen die Analyse der Tastatur so wenig über Kennwörter aus, dass sie auch Null sein kann.
Miller86
2016-05-13 16:33:12 UTC
view on stackexchange narkive permalink

Bei Tastaturen würde ich dies als geringfügiges Problem betrachten, es sei denn, ich habe für alles das gleiche Kennwort verwendet. Wenn Sie für alles ein anderes Passwort verwenden und es regelmäßig ändern, geht es Ihnen wahrscheinlich gut. Fügen Sie dies der Tatsache hinzu, dass Sie, wenn Sie die Tastatur für andere Zwecke verwenden, ein ganz anderes Verschleißmuster erhalten als nur P A S W O R D Wenn Sie getragen werden, müssen Sie sich wahrscheinlich keine Sorgen machen.

Wenn Sie wie ich ein begeisterter FPS-Spieler sind (und im Gegensatz zu mir haben Sie ein Passwort für alles), werden Ihre WSAD-Schlüssel getragen, sobald Verschleiß auf den Passwortschlüsseln sichtbar ist Wahrscheinlich geht es Ihnen auch gut.

Ändern Sie jedoch regelmäßig Ihre Passwörter und verwenden Sie einen Zufallsgenerator, um einprägsame zufällige Passwörter zu erstellen. Der Dice PassPhrase Generator ist ein guter Anfang. Mit ein wenig Excel-Zauberei können Sie Ihren eigenen Passwortgenerator erstellen, der auf diesen Prinzipien und vorab denkwürdigen zufälligen Passwörtern basiert.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...