TLDR

  • Le dita scaldano tasti e superfici: per qualche secondo o minuto resta una traccia visibile con una termocamera.
  • Ricerche come Thermanator e AcuTherm mostrano che il residuo termico può restringere molto lo spazio di ricerca di password e PIN.
  • Il rischio è più concreto su tastierini pubblici, ATM, POS, serrature elettroniche e computer condivisi.
  • Le difese migliori sono password manager, passkey, 2FA resistente al phishing, pulizia termica della superficie e attenzione fisica.

Il gadget più sottovalutato

La termocamera sembra un giocattolo da elettricisti curiosi: guardi dove scalda un alimentatore, trovi dispersioni, controlli un componente, fai foto psichedeliche al gatto.

Poi la punti su una tastiera appena usata.

E capisci il problema.

Ogni dito lascia calore. Non tanto, non per sempre, non in modo perfetto. Ma abbastanza da raccontare quali tasti sono stati toccati da poco.

Hacker Journal aveva già intercettato il fascino di questo tipo di attacco fisico: basta una fotocamera termica economica per trasformare un gesto quotidiano in una traccia. Le ricerche accademiche come Thermanator e AcuTherm hanno fatto il resto, misurando quanto queste tracce possano aiutare a ricostruire password e input segreti.

Non è un keylogger.

È un keylogger pigro.

Arriva dopo.

Guarda il calore.

Tira a indovinare meglio.

Schema acid pixel di tracce termiche su una tastiera

Perché funziona

La fisica è banale e proprio per questo fastidiosa.

Il dito è caldo. Il tasto è più freddo. Quando premi, trasferisci calore. Appena smetti di digitare, i tasti premuti sono leggermente diversi dagli altri.

La termocamera rende visibile quella differenza.

Il risultato non è una password scritta sullo schermo. È una lista di candidati: questi tasti sono stati toccati, questi no, questi forse più recentemente, questi forse prima.

Da sola, la traccia termica può non bastare. Ma in sicurezza raramente serve una prova perfetta. Basta restringere lo spazio.

Se so che una password contiene certe lettere, provo molto meno.

Se so quali cifre compongono un PIN, l'ordine diventa il gioco.

Se ho anche audio, video, shoulder surfing, pattern d'uso o password comuni, il puzzle diventa più piccolo.

È qui che i side channel diventano brutti: non devono vincere da soli. Devono aiutare tutto il resto.

Dove diventa concreto

Sul computer di casa il rischio è quasi sempre basso.

Su un bancomat, un tastierino di accesso, una cassaforte elettronica, un terminale condiviso o una tastiera in uno spazio pubblico, la storia cambia.

L'attaccante non deve stare accanto a te mentre digiti. Può arrivare subito dopo.

Può sembrare una persona che controlla il telefono.

Può fare una foto termica veloce.

Può andarsene con una traccia.

Il punto non è creare paranoia. Il punto è ricordare che "nessuno mi ha visto digitare" non sempre significa "nessuno ha visto cosa ho lasciato".

Password deboli, tracce forti

Le password brevi e umane aiutano l'attaccante.

Se una traccia termica mostra sette tasti e tu usi parole comuni, date, iniziali, nomi o pattern prevedibili, il gioco si accorcia. Se invece il segreto è lungo, casuale, generato da password manager e magari non digitato manualmente, l'attacco perde molto valore.

Questo è il collegamento pratico:

  • password manager non è solo comodità;
  • passkey non è solo moda;
  • 2FA resistente al phishing non è solo enterprise;
  • autofill controllato riduce input manuale;
  • un PIN lungo batte un PIN ovvio;
  • un gesto di pulizia può distruggere la traccia.

La sicurezza migliore è quella che toglie materiale al side channel.

Difese semplici

La prima difesa è non digitare segreti importanti su superfici esposte quando puoi evitarlo.

La seconda è sporcare la traccia.

Dopo aver digitato un PIN o una password su un tastierino pubblico, coprire per un attimo più tasti con la mano, sfiorare zone non usate o appoggiare il palmo può rendere il pattern molto meno utile. Non è elegante, ma funziona come concetto: aggiungi rumore.

La terza è usare fattori che non lasciano la stessa impronta: password manager, passkey, token hardware, autenticazione biometrica locale ben progettata, conferme su dispositivo separato.

La quarta è progettare interfacce migliori:

  • layout numerici randomizzati dove ha senso;
  • superfici che dissipano rapidamente;
  • tastierini schermati;
  • timeout tra utenti;
  • pulizia fisica;
  • controlli contro riprese ravvicinate in ambienti sensibili.

Esperimento sicuro da weekend

Se hai una termocamera economica e vuoi imparare senza fare danni:

  1. Usa una tastiera tua.
  2. Digita una stringa finta, non una password reale.
  3. Fai foto termiche a 5, 15, 30 e 60 secondi.
  4. Cambia materiale: tastiera esterna, laptop, tastierino numerico.
  5. Prova a premere tasti casuali dopo la stringa.
  6. Confronta quanto resta leggibile.

Non serve pubblicare foto con dati reali.

Non serve testare dispositivi altrui.

Non serve avvicinarsi a un bancomat con aria misteriosa.

Il laboratorio buono è quello noioso, ripetibile e tuo.

Perché è un articolo gadget

Questo tema sta perfettamente nella rubrica gadget perché la termocamera è uno strumento acquistabile, utile e non nato per "hacking". È un oggetto da diagnostica che diventa lente di sicurezza.

Ed è qui che Able2Code può divertire senza scivolare.

Non serve vendere l'idea di rubare PIN.

Serve mostrare che un gadget innocuo può insegnare:

  • trasferimento di calore;
  • tempi di dissipazione;
  • threat modeling fisico;
  • password manager;
  • progettazione di interfacce;
  • differenza tra segreto digitale e traccia materiale.

Un buon hacker non guarda solo il codice.

Guarda anche cosa resta sul tavolo.

FAQ

Una termocamera può rubare qualsiasi password?

No. Può rivelare tasti toccati di recente, ma non sempre ordine, ripetizioni e lunghezza. La ricerca mostra però che queste tracce possono restringere molto il lavoro dell'attaccante.

Quanto dura la traccia?

Dipende da materiale, temperatura, pressione, tempo e dispositivo. Le ricerche su tastiere parlano di finestre utili nell'ordine di decine di secondi, con tracce parziali più lunghe.

È un problema solo per tastiere?

No. Il concetto vale per tastierini PIN, touch screen, lucchetti elettronici, casseforti, POS e superfici dove tocchi pochi punti in sequenza.

Passkey e password manager aiutano?

Sì, perché riducono o eliminano l'inserimento manuale di segreti lunghi su tastiere esposte. Non risolvono tutto, ma abbassano molto la superficie.

Ha senso comprare una termocamera per imparare?

Sì, se la usi su dispositivi tuoi e con esperimenti innocui. È un ottimo modo per capire side channel, dissipazione e sicurezza fisica senza toccare reti altrui.

Fonti