当用户在银行时ATM用手盖住键盘是否安全?
意大利和荷兰研究人员的一项实验证明,即使键盘被覆盖,也可以使用特殊的深度学习算法(AI),以41%的概率猜出4位数的银行卡PIN码。
该算法需要设定目标ATM键盘复制品,因为不同键盘区域的尺寸会有不同的密钥间距训练算法。接下来,通过人们在 ATM输入 键盘PIN训练机器学习模型识别键盘按压,并分配一组特定的猜测概率。
整个操作链,来源:Arxiv.org
在实验中,研究人员收集了58名志愿者的5800段测试视频,分别输入了4位数和5位数PIN代码。经过三次试用输入(通常是卡扣留前允许的试用次数),研究人员以 30%和41%的概率还原了5位和4位PIN代码的正确序列。
该模型可以根据遮挡键盘的那只手的覆盖范围来排除无关按键,并通过评估两个按键之间的拓扑距离,从另一只手的动作中推断出按下的数字。
拓扑:只考虑物体之间的位置关系,而不考虑它们的形状和大小
在实验中,记录视频的摄像头位置对结果起着重要作用。实际上,通过ATM隐藏在顶部的针孔摄像头被认为是最好的视角。如果摄像头也能捕捉到音频,模型还可以使用每个数字的声音反馈,使预测更准确。
每个PIN来源:Arxiv.org
实验结果表明,基于深度学习的攻击不足以用手覆盖密码键盘,但也不是没有防御对策:
- 密码越长越安全。建议选择银行允许输入的最长位数PIN码;
- 尽可能多地覆盖键盘区域。根据实验,75%的覆盖率为每次尝试提供服务0.55总覆盖率100%的准确性降低到0.33;
- 使用虚拟或随机键盘,尽量避免使用标准化的机械键盘。虽然操作不容易,但这是一种非常有效的预防措施。
虽然中国的银行密码是6位数,但根据本文AI技术上,猜测密码的概率很小,但上述措施仍然有助于我们保护密码安全,防患于未然。