Shoulder Surfing
Shoulder Surfing to termin używany do opisania sytuacji, gdy jedna osoba obserwuje ekran i klawiaturę komputera lub urządzenia mobilnego innej osoby w celu uzyskania poufnych informacji. Bezpośrednią obserwację można przeprowadzić, po prostu patrząc przez ramię – stąd zaglądanie przez ramię (ang. shoulder surfing). Użyć można również lornetki, kamer wideo (ukrytych lub widocznych) i innych urządzeń optycznych.
Zazwyczaj celem zaglądania przez ramię jest przeglądanie i kradzież poufnych informacji, takich jak kombinacje nazwy użytkownika i hasła. Mogę one być później wykorzystane do uzyskania dostępu do konta użytkownika. Numery kart kredytowych, osobiste numery identyfikacyjne (PIN), wrażliwe dane osobowe wykorzystywane w odpowiedzi na pytania bezpieczeństwa (takie jak drugie imię i data urodzenia używane do odzyskiwania hasła).
Shoulder Surfing – zagrożenie
Shoulder surfing może być wykonywany przez osobę o złych zamiarach, co może skutkować naruszeniem bezpieczeństwa. Wyświetlenie hasła lub odpowiedzi na pytania zabezpieczające umożliwia atakującemu uzyskanie dostępu do konta lub zresetowanie hasła. Zaglądanie przez ramię może być również wykonywane przez ciekawskiego lub wścibskiego przechodnia. W tym przypadku jest to po prostu naruszenie prywatności. Przeglądanie salda bankowego, wypłaty lub historii medycznej przez wścibskiego faceta na lotnisku jest przez większość uważane za nieprzyjemne.
Jeśli kiedykolwiek informatyk pomógł Ci rozwiązać problem na komputerze lub zainstalować nową aplikację, być może znasz uczucie niepokoju, gdy pojawia się prośba o podanie hasła. To jest shoulder surfing, tylko bez złośliwych intencji.
Ochrona przed zaglądaniem przez ramię nie zawsze jest łatwa. Proste metody, takie jak dodanie osłony chroniącej ekran, mogą pomóc ograniczyć pole widzenia na ekranie. Niestety nie zawsze uchronią przed zauważeniem naciśnięciem klawiszy. Bardziej rozbudowane i droższe metody obejmują wprowadzanie uwierzytelniania opartego na spojrzeniu. Utrudnia to obserwację wpisywania hasła, ale jest bardzo rzadkie i stosowane tylko w wyjątkowych sytuacjach.
Zapobieganie
Dodanie uwierzytelniania dwuskładnikowego utrudni atakującemu użycie skradzionych haseł lub pytań zabezpieczających, ale nie zapobiegnie przeglądaniu stron internetowych.
Uwierzytelnianie bez hasła eliminuje korzystanie z haseł. Całkowicie eliminuje ryzyko związane z kradzieżą haseł, w tym tych skradzionych przy użyciu techniki przeglądania przez ramię. Nie zapobiegnie to kradzieży innych poufnych danych, takich jak odpowiedzi na pytania bezpieczeństwa lub nieprzyjemne naruszenia prywatności.
