นักวิจัยจาก University of Glasgow ทำการทดลองแฮครหัสผ่านโดยใช้ปัญญาประดิษฐ์วิเคราะห์ภาพถ่ายความร้อนที่ที่ถ่ายคราบความร้อนที่หลงเหลือบนแป้นพิมพ์คอมพิวเตอร์ ทำให้สามารถเดาได้ว่าผู้ใช้กดรหัสผ่านอะไรบนแป้นพิมพ์

พวกเขาพัฒนาปัญญาประดิษฐ์เพื่อการวิเคราะห์หารหัสผ่านจากภาพถ่ายความร้อนนี้โดยตั้งชื่อว่า ThermoSecure และเรียกการแฮครหัสผ่านด้วยวิธีการนี้ว่า "thermal attack"

การทดลองนี้ใช้กล้องถ่ายภาพความร้อนมาถ่ายภาพแป้นพิมพ์หลังเพิ่งผ่านการใช้งานใหม่ๆ ภาพถ่ายความร้อนที่ได้จะแสดงร่องรอยความร้อนที่ถูกถ่ายเทจากนิ้วมือของผู้ใช้ลงสู่พื้นผิวของแป้นพิมพ์ของมัน โดยบริเวณที่มีอุณหภูมิสูงในภาพนั้นบ่งบอกถึงว่าปุ่มดังกล่าวบนแป้นพิมพ์ถูกนิ้วมือของผู้ใช้สัมผัสบ่อยครั้ง

ด็อกเตอร์ Mohamed Khamis ซึ่งเป็นหัวหน้าทีมวิจัยนี้เคยทำการวิจัยทดลองการเดารหัสผ่านด้วยการดูภาพถ่ายความร้อนที่แป้นพิมพ์หลังการใช้งาน 30-60 วินาที ซึ่งพบว่าแม้ผู้ที่ไม่ได้มีความเชี่ยวชาญเป็นพิเศษด้านการวิเคราะห์ภาพถ่ายก็มีโอกาสเดารหัสผ่านได้ถูกต้อง และเมื่องานวิจัยล่าสุดนี้มีการพัฒนา ThermoSecure มาช่วยในการวิเคราะห์ภาพก็ยิ่งทำให้ความแม่นยำในการเดารหัสผ่านสูงขึ้นมาก

ด็อกเตอร์ Mohamed Khamis หัวหน้าทีมวิจัยผู้พัฒนาระบบ ThermoSecure

ทีมวิจัยทำการเทรนระบบ ThermoSecure ด้วยภาพถ่ายความร้อนที่ได้จากการถ่ายภาพแป้นพิมพ์แบบ QWERTY หลังการใช้งานใหม่ๆ จำนวน 1,500 ภาพ ซึ่งมีการถ่ายภาพในมุมองศาต่างกันออกไปคละเคล้ากัน จากนั้นป้อนข้อมูลที่ได้จากการใช้โมเดลทางสถิติที่สร้างขึ้นไปเทรน ThermoSecure ว่าภาพที่มันมองเห็นนั้นมีความเป็นไปได้ที่จะมาจากการกดรหัสผ่านอะไรบ้าง

หลังการเทรนปัญญาประดิษฐ์ทีมวิจัยก็ได้ทำการทดสอบระบบ ThermoSecure ว่ามีความสามารถในการวิเคราะห์ภาพถ่ายความร้อนเพื่อเดารหัสผ่านได้แม่นยำเพียงใดโดยใช้มันเดารหัสผ่านจากภาพถ่ายความร้อนที่ถ่ายหลังการใช้งานแป้นพิมพ์ในช่วงระยะเวลาต่างๆ ได้ผลการทดสอบดังนี้

• การเดารหัสผ่านจากภาพถ่ายความร้อนที่ถูกถ่ายหลังการใช้งาน 20 วินาที มีความถูกต้อง 86%
• การเดารหัสผ่านจากภาพถ่ายความร้อนที่ถูกถ่ายหลังการใช้งาน 30 วินาที มีความถูกต้อง 76%
• การเดารหัสผ่านจากภาพถ่ายความร้อนที่ถูกถ่ายหลังการใช้งาน 60 วินาที มีความถูกต้อง 62%

และหากเจาะลึกลงไปอีก ผลการทดสอบวิเคราะห์ภาพถ่ายความร้อนที่ถูกถ่ายภายใน 20 วินาทีหลังการใช้งานแป้นพิมพ์พบว่า ThermoSecure สามารถเดารหัสผ่านที่มีความยาวแตกต่างกันด้วยระดับความแม่นยำดังนี้

• รหัสผ่านยาว 16 ตัวอักษร เดาได้ถูกต้อง 67%
• รหัสผ่านยาว 12 ตัวอักษร เดาได้ถูกต้อง 82%
• รหัสผ่านยาว 8 ตัวอักษร เดาได้ถูกต้อง 93%
• รหัสผ่านยาว 6 ตัวอักษร เดาได้ถูกต้อง 100%

หรือกล่าวโดยสรุปคือเทคนิคการโจมตีแบบ thermal attack นี้ยิ่งใช้ภาพถ่ายที่มีความสดใหม่มากเท่าไหร่ ก็ยิ่งมีโอกาสประสบความสำเร็จสูงขึ้น และยิ่งหากบุคคลเป้าหมายใช้รหัสผ่านสั้นๆ ก็ยิ่งมีโอกาสเดารหัสผ่านได้สำเร็จสูงขึ้นไปอีก

ทีมวิจัยเชื่อว่าด้วยความก้าวหน้าของเทคโนโลยีปัญญาประดิษฐ์ในตอนนี้ บวกกับราคาของกล้องถ่ายภาพความร้อนที่ลดลงจนกลายเป็นอุปกรณ์ที่หาซื้อได้ไม่ยาก ทำให้ความเสี่ยงที่จะมีการแฮคข้อมูลแบบ thermal attack เกิดขึ้นได้ง่ายขึ้น

การโจมตีวิธีนี้ไม่ได้จำกัดเป้าหมายว่าจะต้องเป็นแป้นพิมพ์คอมพิวเตอร์เท่านั้น อุปกรณ์อื่นอย่างเช่นหน้าจอสมาร์ทโฟน หรือยิ่งไปกว่านั้นคืออุปกรณ์ที่มีการใช้งานร่วมกันในพื้นที่สาธารณะซึ่งถูกบุคคลอื่นเข้าถึงได้ง่าย เช่น แป้นกดเลขที่ตู้ ATM หรือแป้นกดรหัสผ่านสำหรับระบบล็อกประตูแบบดิจิทัล ก็ล้วนแล้วมีโอกาสถูกโจมตีด้วยวิธีนี้ได้ทั้งสิ้น งานวิจัยนี้จึงเกิดขึ้นเพื่อพิสูจน์หลักการโจมตีที่ว่าโดยมีเป้าหมายเพื่อให้เกิดการคิดค้นแนวทางการป้องกัน

ผู้ที่สนใจสามารถอ่านรายละเอียดงานวิจัยการพัฒนาระบบ ThermoSecure และการโจมตีแบบ thermal attack เพิ่มเติมได้จากที่นี่

ที่มา - University of Glasgow ผ่าน Tech Xplore