Saxena dan timnya menggunakan satu headset EEG yang saat ini tersedia untuk konsumen secara online dan satu headset tingkat klinis yang digunakan untuk penelitian ilmiah untuk menunjukkan betapa mudahnya program perangkat lunak berbahaya dapat menguping secara pasif pada gelombang otak pengguna. Saat mengetik, masukan pengguna sesuai dengan pemrosesan visual, serta gerak tangan, mata dan gerakan otot kepala. Semua gerakan ini ditangkap oleh headset EEG. Tim tersebut meminta 12 orang untuk mengetikkan serangkaian PIN dan kata kunci yang dibuat secara acak ke dalam kotak teks seolah-olah mereka masuk ke akun online saat mengenakan headset EEG, agar perangkat lunak dapat melatih dirinya pada pengetikkan oleh pengguna dan gelombang otak yang sesuai. .
"Dalam serangan dunia nyata, seorang hacker dapat memfasilitasi langkah pelatihan yang diperlukan agar program jahat menjadi sangat akurat, dengan meminta pengguna memasukkan sejumlah nomor yang telah ditetapkan agar dapat memulai kembali permainan setelah menghentikannya untuk beristirahat, mirip dengan cara CAPTCHA digunakan untuk memverifikasi pengguna saat masuk ke situs web, "kata Saxena.
Tim menemukan bahwa, setelah pengguna memasukkan 200 karakter, algoritma dalam program perangkat lunak berbahaya dapat membuat dugaan terdidik tentang karakter baru yang dimasukkan pengguna dengan memantau data EEG yang direkam. Algoritma ini mampu mempersingkat kemungkinan menebak seorang hacker dengan PIN angka empat digit dari angka 1 per 10.000 menjadi 1 per 20 dan meningkatkan kemungkinan menebak password enam huruf dari sekitar 1 per 500.000 menjadi kira-kira 1 per 500.
