Vorsicht bei Videokonferenzen: KI erkennt eure Passwörter am Tippgeräusch
Forscher:innen ist es gelungen, mithilfe einer KI Passwörter zu rekonstruieren – und zwar anhand des Geklappers einer Tastatur beim Eingeben. Die Erfolgsquote liegt dabei zwischen 91 und 95 Prozent.
Joshua Harrison, Ehsan Toreini und Maryam Mehrnezhad haben dafür drei verschiedene Versuchsaufbauten untersucht: Kernelement war jedes Mal ein Macbook Pro mit M1-Chip und 16 Zoll Bildschirmdiagonale aus dem Jahr 2021. Abgehört wurden die Tastentöne entweder durch ein 17 Zentimeter entfernt platziertes iPhone 13 Mini oder die Videokonferenztools Zoom und Skype.
Zuvor hatten die drei Wissenschaftler:innen, die an den Universitäten von Durham, London und Surrey tätig sind, ein Deep-Learning-Netz mit den Tastaturtönen des Macbooks trainiert. Dabei kamen 36 Tasten – die Buchstaben a bis z und die Ziffern 0 bis 9 – zum Einsatz. Jede Taste wurde 25 Mal mit verschiedenen Fingern und variierender Druckstärke betätigt.
Jede Taste klingt anders
So konnte für jede Taste ein individuelles Frequenzprofil erstellt werden, das sich immer aus zwei Geräuschen zusammensetzt: dem Drücken und anschließenden Loslassen der Taste.
Zunächst testeten die Wissenschaftler:innen die Passwortwiederherstellung über das iPhone – sollte es Hacker:innen gelingen, die Kontrolle über das Mikrofon des Geräts zu erlangen, könnten sie auf diesem Weg händisch eingegebene Passwörter mit einer Zuverlässigkeit von 95 Prozent rekonstruieren.
Doch es wäre gar nicht unbedingt nötig, die Kontrolle über ein Smartphone zu erlangen. Ein einfacher Zoom- oder Skype-Call, während dem das potenzielle Opfer ein Passwort eingibt, könnten auch ausreichen. Hier konnten Harrison, Toreini und Mehrnezhad Erfolgsquoten von 91,7 Prozent (über Skype) und 93 Prozent (über Zoom) erzielen.
Zehnfingersystem oder Passwortmanager schaffen Abhilfe
Um es den Angreifer:innen schwerer zu machen, empfehlen die Forscher:innen einerseits, das Zehnfingersystem zu verwenden – dadurch werde die Erkennungsquote einzelner Tasten von 64 Prozent auf 40 Prozent reduziert. Auch Groß- und Kleinschreibung innerhalb von Passwörtern sowie Sonderzeichen sollen die Rekonstruierung von Passwörtern verkomplizieren. Selbstverständlich kann auch ein Passwortmanager Abhilfe schaffen, der mit einem einfachen Klick Eingabefelder automatisch ausfüllt.