正文
利用脑电波,居然可以窃取个人密码?对于这一问题,最近美国亚拉巴马大学伯明翰分校的科学家们给出了肯定的答案。
他们通过一项研究发现,脑电图描记器(EEG)头戴设备,即记录脑活动的一组电极可以被黑客控制。通过观察使用者上网时的脑波,黑客可以获取神经模式,成功猜出使用者的密码。
此项研究一经发表,就引起了社会公众的广泛关注。他们担心,一旦被黑客控制脑电波,个人的财产、信用等方面将受到侵犯。
用脑电波窃取密码“不划算”
研究人员首先让参与研究的12名受试者佩戴EEG设备,按要求在一个文本框中输入一系列随机的PIN码和密码,模拟登录行为。然后研究人员对受试者打字时对应的脑电波发起恶意程序攻击。
他们发现,当用户输入大约200个字符之后,该恶意程序就可以根据受试者的脑电波进行更智能的猜测,猜对四位数PIN码的概率从1/10000提升到1/20,而猜对六位字母密码的概率从1/500000提升到1/150。
而目前,大部分硬件的密码设置规则一般都默认为四位PIN码和六位密码,如果脑电波被恶意监测,那么密码很容易被黑客猜出。
据此研究人员给出建议,每当用户在输入PIN码或者密码的时候,可以通过插入噪音来淹没脑电波,从而提高信息安全性。
在与技术团队研读该论文并进行分析后,多年专注脑电波研究、并创办回车科技从事相关硬件研发的易昊翔在接受《中国科学报》记者采访时表示,这种情况的确有可能发生。“多年前,也有实验室用专业设备进行过类似验证。”
但他同时也强调说,首先需要明晰的一点是窃取脑电波并非大家想象中的“想什么,设备就能精确读取到什么”。“其原理是利用我们在想密码以及打字时需要控制眼睛、手部肌肉时,不同脑区的活跃程度不同,通过设备采集脑区的活跃程度以及结合人工智能学习算法,从而降低破解密码的难度。”
而这样的方法目前对于黑客来看似乎并不“划算”。“非实验条件下还是挺难实现的,黑客通过传统的监测键盘输入等方法会比利用脑波窃取密码要简单得多。”
此外,要成功窃取密码,对于EEG设备的类型也有要求。“本实验所使用的EEG设备是美国的Emotiv,是目前商用领域的代表设备之一。它是一款多电极的脑电采集设备,主要利用运动想象进行多维度的脑电控制。”
易昊翔解释说:“不是所有的脑电采集设备都可以,实验的原理需要监测多个脑区的活动,Emotiv有十几个电极。但目前绝大部分成熟的商用脑电设备都是单电极的,无法监测多个脑区的活动。消费者完全可以放心使用。”
当心脑电波被恶意监测
那么,公众应该如何预防脑电波被恶意监测的问题呢?
对此,易昊翔给出两点建议,从开发者的角度来看,可以通过技术手段来加以规避。如同亚拉巴马大学研究团队给出的建议一样,在脑电波中加入噪声信号。“开发者需要提高保护用户数据隐私的意识。”
从用户角度来看,则需要对可能发生的恶意攻击情况提高警惕。易昊翔提示说,前文所说的窃取密码方法需要让用户多次输入密码,“黑客可能采用恶意程序使账户不断下线,用户需要培养隐私泄露的风险意识,遇到类似异常情况时候要有足够的警觉性”。
