Взуття, жувальна гумка або недопалки — тепер ваш додатковий пароль

Нещодавно ми детально розповідали про методи двофакторної аутентифікації (2FA), які найчастіше використовуються в інтернеті. Та прогрес не стоїть на місці, і зараз фахівці досліджують можливість застосування особистих речей як токенів 2FA, при розпізнаванні яких використовуються технології комп’ютерного зору.
ІТ-експерти з Міжнародного університету Флориди, США, Bloomberg і запропонували рішення, яке є альтернативою криптоустройствам для двофакторної аутентифікації, таким як YubiKeys. Це зовсім не означає, що YubiKeys та аналогічні токени для аутентифікації мають проблеми з точки зору безпеки. Але швидше за все, вони будуть не дуже привабливими для початківців в ІТ-сфері.
У двофакторній автентичності майже завжди використовуються текстові повідомлення, проте злодії навчилися експлуатувати недоліки протоколу SS7 або навіть викрадати облікові записи мобільних телефонів абонентів, обманюючи довідкові служби телеком-операторів. Тому такі підходи вже не можна назвати надійними.
Які ще технології можна використовувати для підтвердження вашої ідентичності в доповнення до традиційного паролю? Відповідь знаходиться практично у вас «на руках», пише The Register.
Креативний підхід
Pixie, дослідницький проект, описаний в минулому місяці в матеріалах Асоціації обчислювальної техніки (Association for Computing Machinery, ACM), показує, що камера на мобільних пристроях і натільних гаджетах (wearable devices) може успішно використовуватися для двофакторної аутентифікації без додаткового спеціального обладнання. Дослідники стверджують, що Pixie здатний доповнювати нинішні рішення для аутентифікації, забезпечуючи простий і доступний метод підтвердження особи, і при цьому не містить конфіденційну інформацію користувача.
Нагадаємо, що двофакторна аутентифікація покращує звичайну однофакторну на основі пароля, оскільки вимагає введення додаткових даних, які підтверджують, що ви – саме та особа, яка має право на доступ до системи або послуги. Зазвичай 2FA застосовує таку комбінацію: те, що ви знаєте, і те, що у вас є. Наприклад, пароль і USB-токен (такий як YubiKeys), або мобільний пристрій, що використовує програму типу генератор кодів від Google або Authy і відповідає за передачу динамічного коду доступу, одноразового пароля (TOTP) за часом або одноразового пароля на основі HMAC (HOTP) .
Іноді аутентифікація може бути трифакторной або навіть більш складною – але для звичайних цілей рядових користувачів верифікації 2FA цілком достатньо.
Основний фокус – на дрібницях
За методом Pixie, користувач смартфона повинен просто намалювати ескіз будь-якої речі, наприклад, свого браслета або наручних годин, і це зображення стане еталоном для автентифікації в майбутньому.
Такий підхід схожий на QR-код, за винятком того, що малюнок – це таємниця. Ви не повинні говорити комусь, який елемент використовується. Pixie також має деяку схожість з біометричним ідентифікатором, але він не пов’язаний з частиною вашого тіла. Оскільки система розпізнає зображення локально, вона не залежить від підключення до інтернету і не є вразливою до мережним атакам, які здатні впливати на схеми 2FA. Адже останні використовують код доступу, який прямує через текстове повідомлення на мобільний пристрій.
Згаданий вище малюнок не обов’язково повинен містити зображення всього еталонного об’єкта: Pixie може розпізнати певні частини об’єкта, наприклад, комір сорочки або частину взуття.
У матеріалах дослідників зазначено, що система Pixie ретельно перевіряє, чи містить зображення-кандидат на перевірку автентичності той же набір дрібних елементів, що був раніше зафіксованих еталонних зображень. Такий підхід забезпечує для Pixie стійкість до атак: для шахрайської аутентифікації зловмисник повинен вкрасти не тільки мобільний пристрій, але і сам еталонний об’єкт, а потім ще й правильно вгадати, яку частину зображення треба намалювати. Тому коли зловмисник просто знає, який ви застосовуєте секретний об’єкт для розблокування, цього недостатньо: він повинен також знати, яка частина в еталонному зображенні використовується для перевірки автентичності.
Безпека – понад усе
Проект Pixie виявився досить стійким до атаки – показник помилкового спрацьовування склав менше 0,09% при проведенні атаки типу brute force, налічував 14 млн 300 тис. спроб аутентифікації і 40 тис. зображень об’єктів, зібраних з відкритих наборів даних. Ще один позитивний результат – майже половина з 42 опитаних осіб вказали на те, що вони віддають перевагу Pixie замість автентифікації на основі паролів; ще 40% учасників не визначилися.
Pixie було реалізовано за допомогою Android 3.2, OpenCV 2.4.10 (програмна бібліотека для комп’ютерного зору) і Weka (Waikato Environment for Knowledge Analysis) – набору програм для машинного навчання, написаних на Java.
Серед учасників дослідження використовувалися наступні еталонні об’єкти: пакети з жувальною гумкою, годинники, брелоки для ключів, сонцезахисні окуляри, взуття, татуювання і навіть – меню інтерфейсу iPhone.