今日の気づきは「パスワードは数字記号を混ぜるより長くすべき!」です。
今日は以下の記事からの気づきです。
キーボードに残った「指の熱」でパスワード盗む:日本経済新聞
本記事を要約すると、英グラスゴー大学の研究グループはパスワードを入力した後のキーボードをサーモカメラで撮影し、AIで入力箇所と入力順を分析し、パスワードを盗めることを証明した、と報じています。
実験の被験者は21人で、6、8、12、16文字の文字列をキーボードで入力させ、入力から20秒後、30秒後、60秒後のそれぞれで、キーボードをサーモカメラで撮影したそうです。
結果、6文字の場合、キー入力の20秒後なら正解率は100%となり、有効性を示せたといえます。
実験結果。Short Passwordは6文字、Medium Passwordは8文字(出所:論文「ThermoSecure: Investigating the effectiveness of AI-driven thermal attacks on commonly used computer keyboards」)
実験で使用したサーモカメラは約5cm四方と小さく、150ドル(約22,000円)未満で購入できるとしています。
また実験では、タイピングが遅いと危ないこと、熱伝導率が低いキーボードの方が熱が残りやすく危ないことも示しています。
***
本記事を読んで私は、この手法を使われると、アルファベットだけでなく数字や記号を混ぜたパスワードも盗まれやすさが変わらないと気づきました。
大文字ならShiftキーを押すので少しは有効と言えなくはないですが、それならパスワードを長くした方が、今回の手法以外に総当たり攻撃や覗き見などの対策にも繋がるため有効と言えそうです。
サーモカメラは今後益々安価かつ小型化していき、パスワードを盗む技術も精度を高めていくでしょう。
セキュリティの重要性は、金融機関に常駐してIT開発に携わっている今は常日頃感じており、気を付けようと思いました。
以上、今日の気づきは「パスワードは数字記号を混ぜるより長くすべき!」でした。
最後まで読んでいただき、ありがとうございます!
(アイキャッチ画像出所:論文「ThermoSecure: Investigating the effectiveness of AI-driven thermal attacks on commonly used computer keyboards」)
