AI-systeem kan wachtwoord raden op basis van toetsenbordgeluid

AI-systemen kunnen sinds kort vrij accuraat je wachtwoord bepalen aan de hand van tikgeluiden van het toetsenbord.

In de jaren 2000 werd er enige tijd onderzoek gevoerd naar een bepaald type van cyberaanval: de ‘acoustic side channel attack’ (ASCA). De bedoeling van zo’n aanval is om iemands wachtwoord te achterhalen op basis van geluid – in dit geval het geluid van je toetsenbord. Met klassieke gsm’s waarbij de toetsen muzieknoten afspeelden als ze werden ingedrukt was dat nog iets of haalbaar. Voor pc’s en reguliere toetsenborden bleek het iets moeilijker, waardoor het onderzoek naar ASCA-aanvallen na een tijdje stil viel.

Dankzij AI en onderzoekers van de Durham University, de University of Surry en de Royal Holloway University of London leeft het onderzoek naar ASCA nu opnieuw op. Aan de hand van audio-opnames, gemaakt via Zoom en met de microfoon van een smartphone, lieten de onderzoekers een zelflerend AI-systeem wachtwoorden raden. In hun simulaties boekte het AI-systeem in maar liefst 95% van de gevallen succes. Daarmee tonen de onderzoekers aan dat de ASCA-aanval vandaag, meer dan ooit, vrij makkelijk uit te voeren is.

De vraag luidt dan: hoe zorg je ervoor dat je wachtwoorden niet gekaapt worden tijdens videogesprekken? Je kan ervoor zorgen dat er geen microfoon aan staat om tikgeluiden door te geven. Het AI-systeem blijkt ook moeilijkheden te hebben met hoofdletters: het systeem hoort namelijk niet altijd wanneer de shift-toets wordt losgelaten.

Een veel betere optie is echter om tweefactorauthenticatie (2FA) in te stellen. Op die manier mogen kwaadwillenden je wachtwoord gerust raden: met enkel het wachtwoord geraken ze het systeem toch niet in.