现今时代,敲击键盘发出的噼啪声已经成了令人心烦的噪音。然而当你一不留神,这些声音所泄露的信息远远超出你的想象。现在,计算机科学家通过简单分析敲击键盘时发出的声音,就能准确地重建一份输入文档的副本――包括其中的口令以及密码。同其他类型的网络犯罪相比,这个过程相对简单,仅仅需要一个廉价的麦克风和一台台式电脑。
这类侦听的可能性在于每一个按键发出的声音都有其自身特点:由按键在键盘上的位置、操作者双手在键盘上的位置和敲击键盘的力度和使用键盘的习惯所决定。然而,先前试图破解键盘声音所作的尝试进展不大――需要一个过程来建立每个按键被敲击时发出的声音和一份已知的文本的匹配关系,包括改进后的软件也仅能识别出一个操作者在一台电脑中输入不同文本的80%个字符。此外,每一个不同的操作者或每一个不同的键盘都需要一份新建的文本来建立匹配关系。因此,这种方法对希望成为黑客的人吸引力有限。
键盘声可以被破译
最近,由伯克利加州大学的道格·泰克(Doug Tygar)和其同事发表的一份报告给键盘声响的私密性敲响了警钟。该报告的细节显示,即使在没有被标示过的文本训练的前提下,识别精确度也可以达到96%。他们用语音识别软件收集所有类似敲击键盘发出的声音,并建立一个键盘声代码表。其过程是,软件首先实验性地根据每一种噼啪声的频率赋予其一个字母,然后用英语语言统计模型来测试这种分配方案建立的信息。例如,某些字母或单词总是倾向于同时出现――如果紧跟在“t”之后有一次未知键盘敲击,那么输入“h”的可能性要远大过“x”。类似地,“for example”的可能性要大于“fur example”。在最后的分析阶段,软件则根据大部分学生做学期论文时都能熟练使用的技术:自动检查拼写。
通过反复校正不可能或错误的字母组合,泰克博士的软件可以在杂乱的声响中提取出信息。也就是说,他的方案只有一个局限:至少需要5分钟的输入标准英语的录音,以便适应语言模型的要求(在原理上,任何一种系统化的语言或有规律的代码表也同样适用)。然而一旦这些要求被满足,这个程序就可以破译出任何文本,从经典的散文到随意的包含10个字符的密码。
这种音频分析方法听起来似乎只是间谍或特务的专门手段,但是泰克指出,这样的入侵手段并不像人们想象的那样诡秘。他说,在网络上,找到可用来组成一个分析工具的代码或一个镭射麦克风是件很简单的事情。人们可能只意识到可以从办公室外面透过窗户进行录音。但是,正如泰克所指出的那样,在手提电脑内置麦克风越来越普遍的今天,窃听者甚至不需要自己准备录音工具,因为内置麦克风可以被黑客利用。
为防范这种声学入侵,泰克的建议是把音量开大。在分析从嘈杂的房间中获得的音频文件时,他的软件几乎是失败的。但是,毕竟更为精巧的录音阵列手段可以克服背景噪声,这使得文本输入仍然面临被破译的危险。因此,泰克认为应该逐步淘汰键盘式输入方式,改用生物识别技术代替,或用无声确认方式的复合密码键入授权密码的方法(如在供选择的图案中点击一个预先设置的图形)。不紧的口风或许会令船只沉没,而现在,似乎疏忽大意的键盘输入也会导致类似的危害。
资料来源The Economist
责任编辑 则 鸣