Quando pensiamo al furto di password, sicuramente una delle associazioni più probabili è rappresentata da malware, attacchi phishing o infostealer.

Ma, probabilmente, le cose cambieranno per via del progetto portato avanti dai ricercatori dell’Università di Glasgow, noto come ThermoSecure. In sostanza, partendo dal presupposto che le fotocamere termiche costano sempre meno e sta aumentando l’accesso ad algoritmi di apprendimento automatico e IA, il team ha sviluppato un sistema di “attacco termico”, con il quale è possibile rilevare le password digitate su computer e smartphone in base alle tracce termiche lasciate dalle dita su tastiere e schermi durante l’immissione.

Sembra fantascienza, oppure qualche trovata da film come Mission Impossible o 007, ma in realtà è un tipo di condotta che, sempre secondo i ricercatori, potrebbe diventare molto comune fra i criminali e non solo in ambito IT. Pensiamo, ad esempio, alla possibilità di riprendere una vittima mentre digita il proprio PIN presso un Bancomat…

Ma come funziona? In sostanza, nelle termo-immagini ricavate dal sistema, le zone più chiare sono quelle toccate più di recente, dove è ancora presente una traccia del calore trasmesso dalle dita. Secondo gli stessi ricercatori di Glasgow, già degli esseri umani senza troppa esperienza possono indovinare una password osservando le immagini termiche. E con l’ausilio dell’intelligenza artificiale, l’operazione diventa ancora più rapida.

Durante i test, l’uso di ThermoSecure con l’IA ha determinato un tasso di violazione delle password pari all’86% entro 20 secondi dall’acquisizione dell’immagine. Il 76% delle parole d’accesso è stato ricavato entro 30 secondi, mentre il 62% entro 60 secondi.

Naturalmente, la difficoltà di violazione dipende dalla lunghezza e dalla complessità della password, ma nella maggior parte dei casi è stato possibile ottenerla. E se consideriamo che il 100% delle password composte da 6 caratteri o meno è stato violato, i PIN dei bancomat diventano particolarmente vulnerabili dato che, di solito, sono composti in media da 5 cifre.

Potete leggere il paper su ThermoSecure (in inglese) facendo clic qui.