计算机安全专家提供了一些建议，以消除热攻击的风险

　　一组计算机安全专家提出了一套建议，以帮助防御可以窃取个人信息的“热攻击”。

　　热攻击使用热敏相机读取留在智能手机屏幕、电脑键盘和密码板等表面上的指纹痕迹。

　　黑客可以利用最近接触过的物体表面的热迹的相对强度来重建用户的密码。

　　去年，格拉斯哥大学(University of Glasgow)的穆罕默德·哈米斯(Mohamed Khamis)博士和他的同事开始展示利用热图像破解密码是多么容易。

　　该团队开发了ThermoSecure系统，该系统使用人工智能扫描热迹图像，并在几秒钟内正确猜出密码，提醒许多人注意热攻击的威胁。

　　现在，哈米斯博士和他的同事们对现有的计算机安全策略进行了第一次全面的审查，并调查了用户对如何防止自动取款机或交通售票机等公共支付设备的热攻击的偏好。

　　他们的研究将于8月11日星期五在加利福尼亚州阿纳海姆举行的USENIX安全研讨会上以论文的形式发表，其中还包括向制造商提供如何使其设备更安全的建议。USENIX Security被广泛认为是计算机安全和网络安全领域的主要会议之一。

　　该团队在之前的计算机安全论文中确定了15种不同的方法，可以降低热攻击的风险。

　　这些方法包括通过戴手套或橡胶顶针来减少用户手上的热量传递，或者在打字前触摸一些冷的东西来改变手的温度。

　　文献中提出的方法还包括将手压在物体表面，或者对着物体呼吸，以掩盖他们打完字后指纹的热度。

　　其他提高安全性的建议主要集中在硬件和软件上。表面后面的加热元件可以消除手指热量的痕迹，或者表面可以由散热更快的材料制成。

　　公共场所的安全可以通过引入一个物理防护罩来加强，防护罩可以覆盖钥匙直到热量消散。另外，眼球追踪输入或生物识别安全可以降低热攻击成功的风险。

　　在研究了现有的安全措施后，该团队对306名参与者进行了在线调查。该调查旨在确定用户在团队确定的策略中的偏好，以及询问他们在使用银行自动取款机等公共设备时可能采取的安全措施的想法。

　　格拉斯哥大学计算机科学学院的穆罕默德·哈米斯博士领导了这项研究。他说:“这是针对热攻击的安全措施的第一次全面文献综述，我们的调查显示了一些有趣的结果。凭直觉，用户建议了一些文献中没有的策略，比如等到周围环境看起来最安全时再使用自动取款机。他们还热衷于已经熟悉的策略，比如双因素认证，因为他们知道这些策略的有效性。

　　“我们还看到，他们考虑到了卫生等问题，这使得在设备上呼吸以掩盖热痕迹的策略非常不受欢迎，以及隐私问题，一些用户在考虑面部或指纹识别等额外安全措施时考虑到了隐私问题。”

　　论文最后对用户提出了如何在公共场合抵御热攻击的建议，并对设备制造商提出了如何在未来几代硬件和软件中内置安全措施的建议。

　　Karola Marky教授是该研究期间在格拉斯哥大学Khamis博士团队的博士后研究员，现任德国波鸿鲁尔大学教授，是该论文的通讯作者。她说:“用户告诉我们，他们认为自己至少对自己的安全负有部分责任，因此我们建议他们在公共场合输入敏感数据时密切关注周围环境，以确保没有人监视，或者使用银行等安全设施。”如果不可能的话，我们建议将手掌放在设备上，以掩盖热量的痕迹，或者如果可能的话，戴上手套或手指保护。

　　“我们还建议用户尽可能使用多因素身份验证，因为它可以防止包括热攻击在内的一系列不同攻击，并尽可能保护所有身份验证因素。”

　　来自格拉斯哥大学计算机科学学院的论文合著者肖恩·麦克唐纳博士是哈米斯博士团队的成员。他说:“对于在公共场所使用的设备的制造商来说，我们建议在设计阶段尽早考虑热攻击，这样设备就可以用物理屏幕来短暂地遮挡表面，或者在使用后重新排列键的键盘来增强隐私。在设备已经在流通的地方，软件更新可以帮助提醒用户注意周围环境，并采取行动防止热像仪的观察。”

　　哈米斯博士补充说:“我们最后的建议是给热像仪制造商，他们可以通过集成新的软件锁来阻止攻击，以防止热像仪拍摄银行机器上的密码板等表面。

　　“我们将继续探索降低热攻击风险的潜在方法。尽管目前我们还不知道这些针对个人信息的攻击有多普遍，但重要的是，计算机安全研究人员必须跟上热像仪可能对用户个人信息构成的风险，尤其是在热像仪现在如此便宜和广泛可用的情况下。

　　“最终，我们给公众的建议是，试着找到一种适合自己个人习惯和行为的策略，并记住在生活中尽可能多地使用它。”他们可以定期采取的任何有助于防止热攻击的行动，都将使其他人更难获得他们的个人数据。”

　　更多信息:保护用户免受侧通道攻击——以用户为中心的设计空间，以减轻对公共支付终端的热攻击。www.usenix.org/conference/usen…3/presentation/mark由格拉斯哥大学提供引文:计算机安全专家提供建议，以冻结热攻击的风险(2023年，8月10日)检索自https://techxplore.com/news/2023-08-experts-advice-thermal.html除为私人学习或研究目的而进行的任何公平交易外，未经书面许可，不得转载任何部分。内容仅供参考之用。