Нещодавно ми детально розповідали про методи двофакторної автентифікації (2FA), що найчастіше використовуються в інтернеті. Та прогрес не стоїть на місці, і зараз фахівці досліджують можливість застосування особистих речей в якості токенів 2FA, при розпізнаванні яких використовуються технології комп’ютерного зору.
ІТ-експерти з Міжнародного університету Флориди, США, та Bloomberg запропонували рішення, що є альтернативою криптопристроям для двофакторної автентифікації, таким як YubiKeys. Це зовсім не означає, що YubiKeys та аналогічні токени для автентифікації мають проблеми з точки зору безпеки. Але скоріш за все, вони будуть не дуже привабливими для початківців в ІТ-сфері.
В двофакторній автентифікації майже завжди використовуються текстові повідомлення, однак злодії навчилися експлуатувати недоліки протоколу SS7 чи навіть викрадати облікові записи мобільних телефонів абонентів, обдурюючи довідкові служби телеком-операторів. Тому такі підходи вже не можна назвати надійними.
YubiKeys – апаратний пристрій для двофакторної аутентифікації
Які ще технології можна використати для підтвердження вашої ідентичності на додаток до традиційного паролю? Відповідь знаходиться практично у вас «на руках».
Креативний підхід
Pixie, дослідницький проект, описаний минулого місяця в матеріалах Асоціації з обчислювальної техніки (Association for Computing Machinery, ACM), показує, що камера в мобільних пристроях та натільних гаджетах (wearable devices) може успішно використовуватися для двофакторної автентифікації без додаткового спеціального обладнання. Дослідники стверджують, що Pixie здатний доповнювати теперішні рішення для автентифікації, забезпечуючи простий та доступний метод підтвердження особи, і при цьому не містить конфіденційну інформацію користувача.
Нагадаємо, що двофакторна автентифікація покращує звичайну однофакторну на основі пароля, оскільки вимагає вводу додаткових даних, які підтверджують, що ви – саме та особа, яка має право на доступ до системи або послуги. Зазвичай 2FA застосовує наступну комбінацію: щось, що ви знаєте, та щось, що у вас є. Наприклад, пароль та USB-токен (такий як YubiKeys), або мобільний пристрій, що використовує програму типу генератор кодів від Google або Authy та відповідає за передачу динамічного коду доступу, одноразового пароля (TOTP) за часом або одноразового пароля на основі HMAC (HOTP) .
Принцип 2FA: щось, що ви знаєте, та щось, що у вас є
Іноді автентифікація може бути трифакторною чи навіть більш складною – але для звичайних цілей пересічних користувачів верифікації 2FA цілком достатньо.
Основний фокус – на дрібницях
За методом Pixie, користувач смартфона має просто намалювати ескіз будь-якої речі, наприклад, свого браслету або наручного годинника, і це зображення стане еталоном для автентифікації в майбутньому.
Такий підхід схожий на QR-код, за винятком того, що малюнок – це таємниця. Ви не повинні казати будь-кому, який елемент використовуєте. Pixie також має деяку схожість з біометричним ідентифікатором, але він не пов’язаний з частиною вашого тіла. Оскільки система розпізнає зображення локально, вона не залежить від підключення до інтернету і не є вразливою до мережевих атак, які здатні впливати на схеми 2FA. Адже останні використовують код доступу, який надсилається через текстове повідомлення на мобільний пристрій.
Згаданий вище малюнок не обов’язково повинен містити зображення всього еталонного об’єкту: Pixie може розпізнати певні частини об’єкта, наприклад, комір сорочки або частину взуття.
В матеріалах дослідників вказано, що система Pixie ретельно перевіряє, чи містить зображення-кандидат на автентифікацію той самий набір дрібних елементів, що був у раніше зафіксованих еталонних зображеннях. Такий підхід забезпечує для Pixie стійкість до атак: для шахрайської автентифікації зловмисник повинен поцупити не тільки мобільний пристрій, але й сам еталонний об’єкт, а потім ще й правильно вгадати, яку частину зображення треба намалювати. Тому коли зловмисник просто знає, який ви застосовуєте секретний об’єкт для розблокування, цього недостатньо: він повинен також знати, яка частина в еталонному зображенні використовується для автентифікації.
Безпека – понад усе
Проект Pixie виявився достатньо стійким до атаки – показник помилкового спрацьовування становив менше 0,09% при проведенні атаки типу brute force, що налічував 14 млн 300 тис. спроб автентифікації та 40 тис. зображень об’єктів, зібраних з відкритих наборів даних. Ще один позитивний результат – майже половина з 42 опитаних осіб вказали на те, що вони віддають перевагу Pixie замість автентифікації на основі паролів; ще 40% учасників не визначилися.
Pixie було реалізовано за допомогою Android 3.2, OpenCV 2.4.10 (програмна бібліотека для комп’ютерного зору) та Weka (Waikato Environment for Knowledge Analysis) – набору програм для машинного навчання, написаного на Java.
Серед учасників дослідження використовувалися наступні еталонні об’єкти: пакунки з жувальною гумкою, годинники, брелоки для ключів, сонцезахисні окуляри, взуття, татуювання і навіть – меню інтерфейсу iPhone.
БІЛЬШЕ ЦІКАВОГО:
- Слухач у домі — як безпечно користуватися Amazon Echo та Google Home
- Нова технологія попереджає про викрадення даних запахом
- Як хакер переконав Zomato оплатити захист даних 120 млн користувачів
Джерело: The Register