Über das Geräusch von Tastaturanschlägen lassen sich Passwörter mittlerweile mit hoher Treffsicherheit auskundschaften und stehlen. Das hat ein Team von Forscherinnen und Forschern mehrerer britischer Universitäten nachgewiesen, wie die US-Nachrichtenseite "Bleeping Computer" berichtet. Für ihre Studie setzten sie ein Deep-Learning-Modell ein, sozusagen eine künstliche Intelligenz (KI).

Das Forscherteam konnte die eingegebenen Daten mithilfe eines Mikrofons in einem i-Phone mit einer Genauigkeit von 95 Prozent rekonstruieren. Beim Einsatz der Videokonferenz-Software Zoom lag die Übereinstimmung immer noch bei 93 Prozent.

Ein solcher Angriff beeinträchtigt die Datensicherheit erheblich – schließlich können Passwörter, Chats und sonstige vertrauliche Informationen geleakt werden. Akustische Angriffe seien aufgrund der Fülle an mikrofongestützten Geräten, mit denen hochwertige Audioaufnahmen möglich sind, viel einfacher geworden, schreibt "Bleeping Computer".

Mann tippt auf Computertastatur
Die KI kann mittlerweile nur am Tippgeräusch Ihr Passwort erkennen.
AP

Verschiedene Angriffspunkte

Wie gingen die Wissenschafterinnen und Wissenschafter bei der Simulation eines solchen Angriffs vor? Der erste Schritt bestand darin, Tastenanschläge aufzuzeichnen, um Daten für das Training des Vorhersage-Algorithmus zu gewinnen. Dies kann über ein in der Nähe befindliches Mikrofon oder über das Telefon des Angegriffenen, das zum Beispiel mit Malware infiziert ist, gemacht werden. Alternativ können Tastenanschläge über einen Zoom-Anruf aufgezeichnet werden, bei dem ein heimtückischer Besprechungsteilnehmer Beziehungen zwischen den von der Zielperson getippten Nachrichten und deren Tonaufzeichnung herstellt.

Die Forscher sammelten in ihrer Studie Daten, indem sie 36 Tasten eines Macbook Pro jeweils 25-mal drückten und den erzeugten Ton bei jedem Tastendruck aufzeichneten. Anschließend erstellten sie aus den Aufzeichnungen Kurven und Spektrogramme, wobei jede Taste unterschiedlich dargestellt wurde.

In ihren Experimenten verwendeten die Forscher denselben Laptop, dessen Tastatur seit zwei Jahren in allen Apple-Laptops zum Einsatz kommt, und ein iPhone 13 mini, das 17 Zentimeter entfernt platziert wurde, sowie Zoom.

Das Programm, das die Forschergruppe entwickelt hat, trägt den Namen CoAtNet. Bei den Versuchen mit dem Smartphone-Mikrofon konnten Passwörter mit 95 Prozent Genauigkeit rekonstruiert werden, bei den Versuchen mit Zoom waren es 93 Prozent und bei jenen mit Skype immer noch knapp 92 Prozent.

Was hilft – und was nicht

Was raten die Forscher, um akustischen Attacken auf IT-Geräte vorzubeugen? Man könne den Tippstil ändern oder nach dem Zufallsprinzip genererierte Passwörter verwenden – Letzteres mache es für Angreifer schwieriger, das Passwort zu erkennen, als wenn dieses ein ganzes Wort enthalte. Weitere mögliche Abwehrmaßnahmen: eine Software, die Tastengeräusche nachahmt oder sogenanntes weißes Rauschen produziert, sowie softwarebasierte Tastatur-Audiofilter.

Sehr leise Tastaturen, Schalldämpfer und andere mechanische Gegenmaßnahmen würden hingegen nicht helfen, schreiben die Studienautoren. Außerdem hätten sich die Verwendung einer biometrischen Authentifizierung und der Einsatz von Passwortmanagern – der eben das manuelle Eingeben von Zeichen erübrigt – bewährt. (red, 7.8.2023)