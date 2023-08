Forskere advarer mot at angripere kan «høre» passordet ditt

Lærte opp system til å gjenkjenne tastetrykk med 95 prosent treffsikkerhet.

Lyden av tastaturet ditt kan brukes til å gjenkjenne tastene du trykker på. Forskere har vist hvordan det kan gjøres med 95 prosent nøyaktighet. Kamera Sean Kilpatrick / Pa Photos / NTB

Lydbasert kunstig intelligens kan oppdage passordet ditt ved å lytte til hvordan du taster, ifølge en fersk studie.

Forskerne Joshua Harrison, Ehsan Toreini og Maryam Merhnezhad fra universitetene i Durham, Surrey og Royal Holloway University of London brukte maskinlæringsmodeller til å tolke lyden fra måten en person skriver på et tastatur.

På den måten lærte de systemet å gjenkjenne lyden fra hver enkelt tast, og forskerne skisserer hvordan et slikt angrep kan gjøres for eksempel via en telefon infisert med ondsinnet programvare.

Har du telefonen liggende ved siden av tastaturet ditt, kan i praksis telefonens mikrofon brukes til å lytte og «oversette» tastetrykkene til bokstaver og tegn.

95 prosent treffsikkerhet

Når modellen ble trent med en telefon og et tastatur, oppnådde den en nøyaktighet på solide 95 prosent. Når den ble trent med tastetrykk hørt over videokonferansetjenesten Zoom, var nøyaktigheten 93 prosent, ifølge forskerne - og forklarer det med at Zoom har innebygget støyreduksjon som ikke kan skrus helt av og gjør det vanskeligere å få pålitelige målinger.

Treningen ble gjort med et Apple MacBook-tastatur fra 2021, og hvor tastene ble trykket 25 ganger hver med ulikt trykk.

– Den akustiske utstrålingen fra tastaturer er overalt, og det gjør ikke bare at dette er en enkelt tilgjengelig angrepsvektor, men også at ofre ofte undervurderer (og derfor ikke forsøker å gjemme) lyden. Når man skriver inn et passord, vil mange for eksempel ofte gjemme skjermen sin, men gjør lite for å tilsløre tastaturlyden, skriver forskerne, og legger til at de fleste tidligere studier på dette har brukt mekaniske tastaturer med mye mer lyd enn moderne laptoptastaturer.

Bærbare datamaskiner er mer utsatt for denne type fare, ettersom de gjerne brukes på forskjellige steder, og er i nærheten av andre enheter som kan være infisert med farlig programvare.

Det var et slikt, relativt utbredt, tastatur som ble brukt for å lære opp modellen. Kamera Anders Brattensborg Smedsrud, Tek.no

Unngå ordbaserte passord

Siden forskerne involvert selv har lært opp mobilmikrofonene og programvaren til denne ferdigheten, er det ikke noe som nødvendigvis er en trussel nå. Likevel kommer de med noen potensielle tiltak:

Å ha mer tilfeldige og sikrere passord er først og fremst lurt, ifølge forskerne - og helst å unngå passord som er hele ord, fordi slik lydgjenkjenningsprogramvare da enkelt kan kombineres med programmer som hele tiden gjetter neste bokstav, litt som autokorrigeringsfunksjonen på telefonen din. Bruker du en blanding av store og små bokstaver gjør du det også vanskeligere å lytte seg frem til.

I tillegg forteller de at det iblant kan være lurt å endre hvordan du skriver, og ikke minst å bruke biometrisk innlogging på maskinen og de tjenestene der det er tilgjengelig. Å taste på touchskjerm kan også være et alternativ, men her påpeker forskerne at programvaren også er blitt veldig god til å gjenkjenne trykk fra lyd.

Passordet er på vei ut

Passordet i seg selv er imidlertid en autentiseringsmetode som i større og større grad er på vei ut. I det siste har flere og flere tjenester fått støtte for såkalte «passkeys». Det betyr at du kan bruke telefonen eller PC-en din til å låse opp eller logge inn på tjenester - med ansikts- eller fingeravtrykksleser eller PIN-koden som du bruker for å låse opp selve enheten.

Da genereres det en kode på enheten som sendes til tjenesten du vil logge inn på, og så skjer hele autentiseringsprosessen i bakgrunnen. Passkeys kan også erstatte hele behovet for såkalt tofaktorautentisering, ifølge Google.

Publisert 8. august 2023, 14:26

Mer om Kunstig intelligensDatasikkerhet