[[430019]]

當用戶在銀行ATM機前取款時，用手遮住鍵盤就安全嗎?

意大利和荷蘭研究人員的一項實驗已經(jīng)證明，即使遮住了鍵盤，也可利用一種特殊的深度學習算法(AI)，以41%的概率猜出4位數(shù)的銀行卡PIN碼。

該算法需要建立目標ATM鍵盤的復制品，因為不同的鍵盤區(qū)尺寸會有不同的密鑰間距訓練算法。接下來通過人們在 ATM 鍵盤上輸入PIN碼的視頻，訓練機器學習模型對鍵盤按壓進行識別，并分配一組可供猜測的特定概率。

整個操作鏈，來源：Arxiv.org

在實驗中，研究人員收集了來自58個名志愿者的5800段測試視頻，他們分別輸入了4位數(shù)和5位數(shù)的PIN碼。經(jīng)過3次嘗試性輸入(通常是卡被扣留前允許的嘗試次數(shù))，研究人員分別以 30%和41%的概率還原了5位和4位PIN碼的正確序列。

該模型可以根據(jù)遮擋鍵盤的那只手的覆蓋范圍來排除無關按鍵，并通過評估兩個按鍵之間的拓撲距離，從另一只手的動作中推斷出按下的數(shù)字。

拓撲：只考慮物體間的位置關系而不考慮它們的形狀和大小

實驗中，記錄視頻的攝像頭位置對結(jié)果起著重要作用。在實際中，通過ATM頂部隱藏針孔攝像頭被認為是最佳視角。如果攝像頭也能夠捕捉音頻，模型還可以使用每個數(shù)字略有不同的按壓聲音反饋，從而使預測更加準確。

每個PIN數(shù)字的猜測和概率，來源：Arxiv.org

實驗結(jié)果證明，用手覆蓋密碼鍵盤不足以防御基于深度學習的攻擊，但也不是毫無防御對策：

• 越長的密碼越安全，建議選擇銀行允許輸入的最長位數(shù)PIN碼;
• 盡可能多的遮擋鍵盤區(qū)域。根據(jù)實驗，75%的覆蓋為每次嘗試提供0.55的準確度，而總覆100%的覆蓋率將準確度降到了0.33;
• 使用虛擬或隨機鍵盤，盡量避免使用標準化的機械鍵盤。雖然在操作上會不太順手，但卻是一種極為有效的防范措施。

雖然我國銀行密碼均為6位數(shù)，按照本文的AI技術(shù)，猜到密碼的概率很小，但上述措施依然有助于我們守護密碼安全，做到防患于未然。