Недавно мы подробно рассказывали про методы двухфакторной аутентификации (2FA), которые чаще всего используются в интернете. И прогресс не стоит на месте, и сейчас специалисты исследуют возможность применения личных вещей в качестве токенов 2FA, при распознавании которых используются технологии компьютерного зрения.
ИТ-эксперты из Международного университета Флориды, США, Bloomberg и предложили решение, которое является альтернативой криптоустройствам для двухфакторной проверки подлинности, таким как YubiKeys. Это совсем не означает, что YubiKeys и аналогичные токены для аутентификации имеют проблемы с точки зрения безопасности. Но скорее всего, они будут не очень привлекательными для начинающих в ИТ-сфере.
В двофакторній подлинности почти всегда используются текстовые сообщения, однако воры научились эксплуатировать недостатки протокола SS7 или даже похищать учетные записи мобильных телефонов абонентов, обманывая справочные службы телеком-операторов. Поэтому такие подходы уже нельзя назвать надежными.
Какие еще технологии можно использовать для подтверждения вашей идентичности в дополнение к традиционному паролю? Ответ находится практически у вас «на руках», пишет The Register.
Креативный подход
Pixie, исследовательский проект, описанный в прошлом месяце в материалах Ассоциации по вычислительной технике (Association for Computing Machinery, ACM), показывает, что камера в мобильных устройствах и нательных гаджетах (wearable devices) может успешно использоваться для двухфакторной аутентификации без дополнительного специального оборудования. Исследователи утверждают, что Pixie способен дополнять нынешние решения для аутентификации, обеспечивая простой и доступный метод подтверждения личности, и при этом не содержит конфиденциальную информацию пользователя.
Напомним, что двухфакторная аутентификация улучшает обычную однофакторну на основе пароля, поскольку требует ввода дополнительных данных, которые подтверждают, что вы – именно та личность, которая имеет право на доступ к системе или услуги. Обычно 2FA применяет следующую комбинацию: то, что вы знаете, и то, что у вас есть. Например, пароль и USB-токен (такой как YubiKeys), или мобильное устройство, что использует программу типа генератор кодов от Google или Authy и отвечает за передачу динамического кода доступа, одноразового пароля (TOTP) по времени или одноразового пароля на основе HMAC (HOTP) .
Иногда аутентификация может быть трифакторной или даже более сложной – но для обычных целей рядовых пользователей верификации 2FA вполне достаточно.
Основной фокус – на мелочах
По методу Pixie, пользователь смартфона должен просто нарисовать эскиз любой вещи, например, своего браслета или наручных часов, и это изображение станет эталоном для проверки подлинности в будущем.
Такой подход похож на QR-код, за исключением того, что рисунок – это тайна. Вы не должны говорить кому-то, какой элемент используется. Pixie также имеет некоторое сходство с биометрическим идентификатором, но он не связан с частью вашего тела. Поскольку система распознает изображения локально, она не зависит от подключения к интернету и не является уязвимой к сетевым атакам, которые способны влиять на схемы 2FA. Ведь последние используют код доступа, который направляется через текстовое сообщение на мобильное устройство.
Упомянутый выше рисунок не обязательно должен содержать изображение всего эталонного объекта: Pixie может распознать определенные части объекта, например, воротник рубашки или часть обуви.
В материалах исследователей указано, что система Pixie тщательно проверяет, содержит ли изображение-кандидат на проверку подлинности тот же набор мелких элементов, что был в ранее зафиксированных эталонных изображениях. Такой подход обеспечивает для Pixie устойчивость к атакам: для мошеннической аутентификации злоумышленник должен украсть не только мобильное устройство, но и сам эталонный объект, а потом еще и правильно угадать, какую часть изображения надо нарисовать. Поэтому когда злоумышленник просто знает, который вы применяете секретный объект для разблокировки, этого недостаточно: он должен также знать, какая часть в эталонном изображении используется для проверки подлинности.
Безопасность – превыше всего
Проект Pixie оказался достаточно устойчивым к атаке – показатель ложного срабатывания составил меньше 0,09% при проведении атаки типа brute force, насчитывал 14 млн 300 тыс. попыток аутентификации и 40 тыс. изображений объектов, собранных из открытых наборов данных. Еще один положительный результат – почти половина из 42 опрошенных лиц указали на то, что они отдают предпочтение Pixie вместо проверки подлинности на основе паролей; еще 40% участников не определились.
Pixie было реализовано с помощью Android 3.2, OpenCV 2.4.10 (программная библиотека для компьютерного зрения) и Weka (Waikato Environment for Knowledge Analysis) – набора программ для машинного обучения, написанного на Java.
Среди участников исследования использовались следующие эталонные объекты: пакеты с жевательной резинкой, часы, брелоки для ключей, солнцезащитные очки, обувь, татуировки и даже – меню интерфейса iPhone.