文|支付百科  里奧

隨著熱成像技術的廣泛應用，在網上買一個熱感攝像機也不過幾千塊錢?！盁峁簟彪S之成為科學家研究的對象。

最近，英國格拉斯哥大學的研究人員就發現，你的手機、鍵盤，甚至是在POS機、ATM上的各種操作都有可能泄露你的密碼，泄露原因就是留在屏幕上的熱量。

這種熱感攝像機的成像層次是根據物體的溫度變化而變化的，溫度越高的物體越亮，反之越暗。也就是說，越亮的地方就被觸摸的時間也就越近。

01、密碼破解率極高

其實，各國對“熱攻擊”的研究一直都有。早在2016年，國內就有研究者就曾通過熱成像技術測試過密碼泄露問題。

當時，測試者通過可插手機的小型熱感攝像機進行測試，選擇的測試對象包括POS機、ATM機和電腦鍵盤。

測試發現，POS機和鍵盤都留下了明顯的熱信息，而ATM機的鍵盤由于是金屬材質導熱性比較好，并未留下明顯的熱信息，相對安全。

由于當時設備還沒那么先進，也只能通過顏色辨別密碼由哪些數字組成，ATM機甚至都沒有留下熱信息。

研究人員對于“熱攻擊”的研究從未停止。正如蘇格蘭大學計算科學學院Mohamed Khamis所說：“你需要像小偷一樣思考，才能抓住小偷”。為了避免此類安全事件發生，研究人員更應走在攻擊者前面。

美國加州大學相關研究人員也做過類似研究，研究人員讓31個人在4種不同的鍵盤上輸入密碼，然后讓另外8個非專業人士從熱成像記錄數據中推導出按鍵組合。

結果表明，根據輸入密碼后30秒內記錄的熱成像數據，即使非專業攻擊者也能很容易地還原正確的密碼。在輸入密碼后1分鐘內記錄的熱成像數據，也能讓攻擊者還原部分正確的密碼。

而此次英國格拉斯哥大學的研究者開發出名為ThermoSecure的人工智能系統，不僅可以拍到熱圖像組，而且破解密碼的效率更是驚人。

該系統可以通過測量溫暖地區的相對強度，確定構成密碼的具體字母和符號的數量，并估計它們的使用順序。

研究報告顯示，只要在用戶輸入密碼后20秒內拍攝熱圖像，通過系統檢測，86%的密碼都能被破解，30秒內的破解成功率達到76%，60秒后成功率也有62%。

研究人員又試圖在一定的時間內通過改變密碼長度來驗證破解率。發現在20秒內，系統甚至能夠成功攻擊16個字符的長密碼，并且破解成功率高達67%。隨著密碼變短，成功率也會相應增加。12字符密碼的成功率達到82%，8字符密碼為93%，6字符密碼更是高達100%。

這真的是讓人后背發涼，自己銀行卡6位密碼、手機PIN碼、鎖屏碼在這系統面前真的不值一提啊，還有家里大門的密碼鎖……

02、如何預防？

其實，日常生活中的熱感攝像機相較于研究人員使用的AL系統還是有很大差距的。當然，未來也不乏會有類似案例出現，所以，我們日常中注意的就是自己對密碼的保護。

比如設置更長更復雜的密碼，使密碼破解率降低。

另外，制造鍵盤的材料類型也會影響它們吸收熱量的能力，像ATM機鍵盤的金屬材料導熱性好，熱量留存就少。有些塑料比其他塑料更容易保持熱量模式。還可以使用背光鍵盤，因為這種鍵盤本身就會產生更多的熱量，使準確熱讀數相對困難一些。

目前，密碼也不是唯一的驗證方法。指紋或面部識別甚至掌紋都應運而出，這些方式也有效降低了被熱攻擊的風險。

當然，無論哪種方法都不能說是一定安全的。計算機安全研究一定要跟上這些發展的步伐，才能找到降低風險的新方法。