Gratis
17. Juli 2018 - Passwort-Sicherheit

Passwort-Diebstahl durch Wärmespuren

Wissenschaftlern gelingt das Auslesen von Passwort-Eingaben durch einen Trick, der aus einem Spionagefilm der 80er Jahre stammen könnte. Sie nutzen dazu die Körperwärme desjenigen, der das Passwort eingibt.

Wer per tatsatur Passwörter eingibt, hinterlässt Wärmespuren Wer per Tastatur Passwörter eingibt, hinterlässt Wärmespuren (Bild: Pinkypills / iStock / Thinkstock)

Mit der richtigen Ausstattung können Angreifer die Passwort-Eingaben von Nutzern ausspähen, ohne spezielle Software auf dem System zu installieren oder in das Netzwerk des Unternehmens eindringen zu müssen.

Es genügt eine Wärmebildkamera, mit der beispielsweise auch Kältebrücken an Hausfassaden nachgewiesen werden.

Wärmespur auf der Tastatur als Sicherheits-Risiko

In ihrem Artikel (PDF) decken die Wissenschaftler der Universität von Kalifornien ein bisher unbekanntes Risiko bei der Eingabe von Passwörtern am Computer auf.

Die Forscher haben mit Wärmebildkameras die Tastaturen gefilmt, auf denen 30 Probanden Passwörter eingaben. Bis zu einer Minute nach Eingabe seien die gedrückten Tasten noch zu erkennen gewesen. Besonders gut erkennbar sind Eingaben von Nutzern, die nur mit zwei Fingern statt mit dem Zehn-Finger-System schreiben.

Die Wärmeabdrücke sind laut den Wissenschaftlern bei dieser langsameren Eingabemethode meist größer. Und somit für Angreifer auch einfacher zu rekonstruieren.

Ein besonders Fachwissen für die Erkennung der Eingabe sei nicht notwendig. Selbst Laien sei es nach einer kurzen Einweisung gelungen, aus den Bildern korrekte Eingaben und Passwort-Fragmente zu erkennen.

Einsatz in Industrie-Spionage denkbar

Bei der Rekonstruktion der Passwort-Eingaben spielt die Stärke des gewählten Passworts keine Rolle. Auch andere Maßnahmen, wie etwa spezielle Filter, die den Blick auf den Bildschirm erschweren, sind in diesen Fällen wirkungslos.

Die Technik selbst sei unkompliziert und deutlich günstiger als andere Angriffsversuche auf die Infrastruktur eines Netzwerks. Angreifer müssen lediglich freie Sicht mit der Kamera auf die Tastatur bekommen.

Damit ist den Wissenschaftlern gelungen, für ein bisher nicht berücksichtigtes Sicherheitsrisiko zu sensibilisieren. Gerade im Bereich der Industrie-Spionage und als Vorbereitung von Cyberangriffen könnte das Verfahren für Cyberkriminelle interessant sein.

Forscher empfehlen Gegenmaßnahmen

Als Gegenmaßnahmen empfehlen die Wissenschaftler, nach der Eingabe von sensiblen Informationen mit der Hand über die Tastatur zu streichen oder willkürliche Eingaben vorzunehmen. Das erzeuge eine Art von „thermischen Rauschen”.

Am wirkungsvollsten, aber zugleich auch am unrealistischsten, ist das Tragen von wärmeisolierenden Handschuhen während der Passworteingabe. Eine andere Möglichkeit besteht in der Nutzung einer Bildschirmtastatur.

Der Erfolg der eher ungewöhnlichen Methode für das Ausspähen von Tastatureingaben belegt erneut, dass Passwörter eine Schwachstelle in jedem Sicherheitskonzept bleiben.

Größere Sicherheit bietet eine Zwei-Faktor-Authentifizierung, die den Zugriff auf ein System nicht von der Eingabe eines einzelnen Passworts abhängig macht.

Stephan Lamprecht