Přejít k hlavnímu obsahu

Výběr z bankomatu už brzy nemusí být bezpečný: nový program rozpozná PIN

Jiří Palyza 21.10.2021
info ikonka
Zdroj:

Zadávání PIN do bankomatu při provádění transakcí na účtu už do budoucna nemusí být bezpečné. Vědci vyvinuli program, který dokáže zadávaná čísla odhadnout. Stačí k tomu videa zákazníků banky. I když zadávání PIN zakryjete rukou, na celé věci to nic nemění.

Bezpečnostní experti se zasloužili o noční můru uživatelů, kteří vybírají hotovost z bankomatů, anebo jejich prostřednictvím provádějí i další bankovní transakce. Vytvořili program, který zkoumal zadávání údajů do bankomatů u mnoha zákazníků. Píše o tom server Bleeping Computer ve svém příspěvku "Credit card PINs can be guessed even when covering the ATM pad". Algoritmus se dokázal naučit zpracovat získaná data tak, že zvládl vypočítat pravděpodobnost PIN kódu pro další vstupy. Čtyřmístný PIN kód bankovních klientů se podařilo uhodnout ve 41% případů. Zajímavá na tom všem je také skutečnost, že se to podařilo i v případě, kdy uživatelé při zadávání PIN zakryli číselnou klávesnici.

V rámci experimentu experti vložili do programu celkem 5800 video záznamů při vkládání PIN kódů od 58 různých osob. V průběhu experimentu střídavě zadávali čtyřmístný a pětimístný PIN kód. V rámci tolerance počtu pokusů při zadávání kódu PIN program poté odhadl správnou kombinaci. Ve většině případů jsou možné tři pokusy.

Model dokáže vyloučit nepoužitá tlačítka na základě umístění ruky, kterou uživatel nezadává a použije ji k zakrytí klávesnice, a z pohybů prstů druhé ruky odhadne stisknuté klávesy na základě délky jednotlivých prstů, jejich sklonu a vzdálenosti kláves na vstupní matici.

Zadávání PIN: měli by se uživatelé začít obávat?

atm-pin

Výběr hotovosti z bankomatu: popisovaná metoda podvodu je pravděpodobně ještě otázkou budoucnosti. | Zdroj: Nick Pampoukidis/Unsplash

K provedení experimentu bylo potřeba použít výkonný hardware: procesor Intel Xeon E5-2670, 128 GB RAM a tři karty nVidia Tesla K20m. Nejde o nijak levný systém, zejména i proto, že je potřeba postavit repliku bankomatu, která by útočníkům posloužila ke sběru potřebného množství dat. Naučit algoritmus různé vzdálenosti a velikosti tlačítek na klávesnicích pro zadávání PIN je pro úspěšnost výsledků klíčové. Vzhledem k potenciálnímu zisku pro podvodníky může i tak být investice lákavá. Přesto zůstává otázkou, zda vzhledem ke komplikovanosti rentabilní. Zloději by museli ovládat práci s umělou inteligencí a poskytovat jí data.

Bezpečnostní experti nenechali PIN hádat pouze umělou inteligencí. Tipovat PIN na základě poskytnutých videí mohlo i 78 testerů, a poté porovnat své výsledky se strojovým odhadem. Jejich výsledky ale byly mnohem slabší, než při strojovém zpracování. Lidem se podařilo tipnout správný PIN pouze v necelých osmi procentech případů.


Máte k článku připomínku? Napište nám

Sdílet článek

Mohlo by se vám líbit








Všechny nejnovější zprávy

doporučujeme