在鍵盤上輸入口令時留下的熱量痕跡可被黑客拾取用以恢復出口令。

　　加州大學爾灣分校研究人員發現，用前視紅外(FLIR)熱成像攝像頭掃描計算機鍵盤，在口令首字符被敲下的30秒之內便可以恢復出用戶敲擊的口令。他們將這一熱成像攻擊方法發表在了題為《Thermanator》的論文中。

　　“盡管熱量殘留會隨時間消散，但總有一定的時間窗口期，在此期間便可從輸入設備上讀取熱量值，恢復出剛剛輸入的潛在敏感信息?！薄浴禩hermanator》的論文

　　在4款鍵盤上測試了此類攻擊后，研究人員發現，熱量殘留掃描法能恢復出完整口令的條件，是要在口令首字符被敲下后30秒之內就開始掃描。如果過了1分鐘才掃描，熱量掃描就只能恢復出部分口令了。實驗中研究人員用的前視紅外(FLIR)熱成像攝像頭架在距離鍵盤60厘米的三腳架上。

　　FLIR攝像頭捕捉熱量的方式有幾種?；灸Ｊ矫麨?FLIR One Pro，是價值400美元的配件，可作為智能手機附件使用。有些型號的手機，比如 CAT S61，發售時就內置了FLIR攝像頭模塊。

　　實驗中研究人員招募了30位普通用戶來根據紅外熱成像掃描圖猜測口令。如果輸入口令的是“一指禪”用戶，通過觀察紅外熱成像掃描，被測人員能在首字符輸入后的19.5-31秒內猜出口令?！癴ootball”和“12341234”這樣的弱口令，被測人員猜出口令平均耗時分別為25.5秒和45.25秒。相對的，如果輸入口令的是盲打型用戶，“12341234”就最難猜，普通人平均要花47.6秒才猜得出來。

　　加州大學爾灣分校的研究人員認為，“一指禪”輸入者是最容易被Thermanator類型的攻擊突破的。因為只用食指輸入，每個鍵上留下的指紋接觸面更大，熱量殘留也更多。而盲打輸入者因為總是保持手指放在基準鍵上(A/S/D/F/J/K/L/;)，他們就會產生更多的熱量噪音，讓用FLIR攝像頭記錄的熱量痕跡分析更加困難。用亞克力指甲的人更能抵御Thermanator攻擊，因為他們用指甲尖端敲鍵盤，基本不會在鍵帽上留下熱量痕跡。

　　該研究的結論有三點：

　　1. 用外接鍵盤輸入口令比之前認為的更不安全；

　　2. 事后熱量成像攻擊是現實可能的；

　　3. 或許是時候停止使用鍵盤來輸入口令了，或者干脆就不用口令了。

　　另外，如果必須在公共場合輸入口令，可以使用雙因子身份驗證來保護你的信息安全。

責任編輯：韓希宇