این روش هک کردن پسوورد که توسط محققان دانشکده علوم کامپیوتر دانشگاه گلاسکو ابداع شده است، ThermoSecure نام دارد. مخترعین روش ThermoSecure سعی دارند نشان دهند کاهش قیمت دوربینهای سنجش حرارت و استفاده مضاعف از الگوریتمهای هوش مصنوعی چگونه میتواند منجر به پیشرفتهای جدید در علوم کامپیوتر شود.
یک دوربین حرارتی قادر است با بررسی کیبورد کامپیوتر، گوشی هوشمند یا خودپرداز، تصویری از صفحه کلید را ثبت کرده و رد اثر حرارتی باقی مانده از انگشت صاحب دستگاه را بررسی کند.
به این ترتیب، هرچه ناحیهای در تصویر حرارتی روشنتر باشد، به آن معناست که آن ناحیه تازهتر از سایر کلیدهای لمس شده است. بر همین اساس، تصویر ثبتشده میتواند با تشخیص کلیدهای لمسشده و زمان آن، پسوورد را حدس بزند!
تحقیقات پیشین انجام شده توسط محققین دانشگاه گلاسکو نشان داد که به کمک این تصاویر حرارتی حتی افراد معمولی هم قادر به حدس زدن رمز عبور خواهند بود. با این حال، افزودن الگوریتمهای هوش مصنوعی باعث خواهد شد که هک کردن پسوورد با سرعت و دقت بیشتری انجام شود.
نتایج بررسیهای انجام شده بر روی عملکرد متد ThermoSecure حاکی از این بود که هوش مصنوعی به کار گرفته شده در این سیستم قادر به حدس زدن صحیح ۸۶ درصد پسووردها در بازه زمانی ۲۰ ثانیه پس از وارد کردن آنهاست است. این درحالیست که در بازه زمانی سی ثانیه، دقت به ۷۶ درصد کاهش پیدا میکند و پس از گذشت ۶۰ ثانیه از جا گذاشتن رد اثر حرارتی، این سیستم ۶۲ درصد پسووردها را درست حدس میزند!
طبیعتا هرچه پسوورد طولانیتر باشد، حدس زدن آن دشوارتر خواهد بود. با این وجود، روش ThermoSecure در اکثر شرایط عملکرد بسیار خوبی را از خود بروز میدهد. این روش با بهرهگیری از گرما و هوش مصنوعی قادر به هک دو سوم تمام پسووردهای حداکثر ۱۶ کاراکتری بوده و برای پسووردهای کوتاهتر رکورد بسیار بهتری را به ثبت رسانده است. به عنوان مثال، بر اساس تستهای انجام شده، این الگوریتم حدود ۸۲ درصد از پسووردهای ۱۲ کاراکتری و ۹۳ درصد از پسووردهای هشت کاراکتری را درست حدس میزند!
همچنین نرخ موفقیت روش ThermoSecure در هک کردن پسووردهای تا سقف شش کاراکتر، ۱۰۰ درصد گزارش شده است. این به آن معناست که با فراگیر شدن این روش، پسووردهای کوتاه یا پین کدها عملا هیچگونه امنیتی را به کاربر ارائه نخواهند داد!
چگونه هکرها میتوانند از روش ThermoSecure برای دسترسی به کامپیوتر یا گوشی شما استفاده کنند؟
هکرها به سادگی قادر خواهند بود با استفاده از روش جدید ThermoSecure با در نظر داشتن صفحه کلید کاربر، یک عکس حرارتی از آن را ثبت کرده و از آن برای تشخیص پسوورد استفاده کنند. در پارهای اوقات نیاز است که هکرها به طور فیزیکی به کیبورد دسترسی داشته باشند. اما این امکان هم وجود دارد که هک کردن پسوورد بدون نیاز به هیچ گونه دسترسی فیزیکی انجام شود.
این روش طبیعتا برای تشخیص نام کاربری نیز قابل استفاده است. بنابراین با استفاده از این روش، هکرها میتوانند به طور کامل به تمامی مشخصات حساب کاربری طعمه خود دسترسی پیدا کنند!
ابداعکنندگان این روش، محمد خمیس، جان ویلیامسون و نورا الوطیبی از دانشگاه گلاسکو در مقالهای جدید به خطرات احتمالی این روش پرداخته و سعی کردهاند افزایش ریسک هک شدن پسوورد کاربران در صورت کاهش قیمت و فراگیرتر شدن الگوریتمهای تشخیص حرارت و هوش مصنوعی را متذکر شوند.
دکتر محمد خمیس، توسعهدهنده ارشد تکنولوژی ThermoSecure در این خصوص گفت:
امروزه دسترسی به دوربینهای حرارتی راحتتر از همیشه است و میتوان با پرداخت هزینه ای کمتر از ۲۰۰ دلار، یکی از این دوربینها را تهیه کرد. از سوی دیگر، الگوریتمهای یادگیری ماشین نیز به طور سرسامآوری در حال گسترش یافتن هستند. این موارد، شانس توسعه سیستمهایی مشابه با ThemoSecure در سراسر دنیا را افزایش داده و خطر امنیتی بزرگی را متوجه امنیت کاربران میکند.
چگونه از امنیت خود در برابر تکنولوژیهای مانند ThermoSecure محافظت کنیم؟
دکتر خمیس در خصوص پیشرفت تکنولوژی در این حوزه گوشزد میکند که لازم است تحقیقات حوزه امنیت سایبری به طور موازی با روشهای نظیر ThermoSecure پیشرفت کند تا کاربران به روشهای جدیدی برای محافظت از پسوورد خود دسترسی داشته باشند. با این وجود باید توجه داشت که علیرغم تمامی پیشرفتهایی که در این حوزه در حال انجام است، خود کاربران میتوانند با یک گام ساده، یعنی استفاده از پسووردهای طولانی، امنیت خود در این فضا را افزایش دهند.
دکتر خمیس در این خصوص گفت:
پسووردهای طولانیتر برای تایپ زمان بیشتری میبرند. در نتیجه ثبت تصویر حرارتی و هک کردن آنها دشوارتر است؛ خصوصا اگر کاربر در تایپ مهارت بیشتری داشته باشد.
وی همچنین استفاده از روشهای احراز هویت بیومتریک را نیز توصیه کرده و به اکثر کاربران پیشنهاد میدهد که کیبوردها و دستگاههای دیجیتالی خود را با بهرهگیری از روشهای مختلف احراز هویت مانند حسگر اثر انگشت یا تشخیص چهره ایمنتر کنند.