Klawiatura będzie sprawdzać naszą tożsamość? (Hasła możemy zapisać na żółtych karteczkach)
- Dodano: 5 listopada 2009
- Wprowadził: hcsl.pl
- Komentarze: 37
Klasyczne metody uwierzytelniania, takie jak statyczne hasła dostępu, nie są szczególnie bezpieczne. Jak wiemy, hasło może zostać podsłuchane, przejęte podstępem lub złamane za pomocą przetestowania wszystkich możliwych kombinacji znaków. Niedawno powstała jednak niezwykle interesująca metoda uwierzytelniania odporna na wszystkie wspomniane rodzaje ataków…
Jeff Allen oraz John Howard, studenci Southern Methodist University, opracowali nowatorską metodę uwierzytelniania opartą o wprowadzanie statycznego hasła w połączeniu z analizą szeregu danych biometrycznych charakterystycznych dla procesu pisania na klawiaturze! System Safelock, bo o nim mowa, wyposażony jest w specjalną klawiaturę oraz oprogramowanie, zdolne do rozpoznawania nie tylko wprowadzanych znaków, ale również:
- użytej siły nacisku,
- czasów upływających pomiędzy kolejnymi naciśnięciami,
- czasów wciśnięcia poszczególnych przycisków.
System ten sprawdza więc nie tylko podane hasło, ale przede wszystkim sposób (charakterystyczny dla danego użytkownika) w jaki fraza została wprowadzona. W ten oto sposób prezentowane rozwiązanie wprowadza dodatkową warstwę kontroli dostępu. W efekcie intruz, wprowadzający nawet poprawne hasło, nie zostanie zalogowany do systemu! Wreszcie możemy więc bez obaw zapisać nasze hasła na przysłowiowych żółtych karteczkach!
Projekt ten zdobył pierwsze miejsce w konkursie STUDENT INNOVATION CONTEST 2009. Zapraszam do obejrzenia filmu, na którym autorzy prezentują swój nagrodzony projekt.
Artykuł pochodzi z serwisu http://hcsl.pl/, jestem jego autorem, wobec czego dysponuję prawem do jego publikacji w OSnews!
Więcej informacji: http://hcseclab.blogspot.com/2009/10/kla...nasza.html
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
37 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
Link do filmu: http://www.youtube.com/watch?v=_vMb9JUhC1g&fe… wspomnianego w artykule.
Kiedyś słyszałem o czymś takim odnośnie bankomatów. Miało to być dodatkowe zabezpieczenie kodu PIN.
To nie będzie działać dla krótkich tekstów. To jest analiza statystyczna a nie pojedynczego uderzenia w klawisz – bo to zależy od nastroju, klawiatury i innych czynników (jak sobie paznokieć złamię to normalne, że będę inaczej pisał, po vodce też a mimo wszystko chciałbym mieć możliwość wybrania z bankomatu kasę na następną
).
Natomiast jako dodatkowy sposób zabezpieczania jest niezły – dla długich tekstów bardzo ciężko będzie oszukać taki system, zwłaszcza dla osób piszących bezwzrokowo. Słyszałem o podobnych systemach, np. człowiek chodzi bardzo charakterystycznie, więc można na podstawie chodu wykrywać właściciela, np. za pomocą akcelerometru z komórki – jeżeli ktoś nam ukradnie komórkę to ta się wyłączy albo zacznie krzyczeć ZŁODZIEJ!!! ZŁODZIEJ!!! ZŁODZIEJ!!!
To chciałbym Ciebie widzieć z taka komórką (z inteligentnym akcelerometrem) mogącą krzyczeć ZŁODZIEJ właśnie po wódce ;D Ciekaw jak daleko byś zaszedł. ;D
Masz całkowitą rację! To wcale nie jest proste zagadnienie, gdyby takie było to już dawno rozwiązania oparte o taką technologię były by powszechne.
To musi być statystyczne badanie na raczej dość dużej próbce. Jak ktoś ma jedną krótszą nogę to po pijaku mu się nie wydłuży, za to krok na pewno się skróci
. Wsiadając do samochodu czy tramwaju obraz z aklcelerometru będzie inny niż pieszo. Zmieniając buty, zwłaszcza w przypadku kobiet klapki kontra szpilki dadzą zupełnie inne dane. W zimie okuci w ciężkie buty będziemy chodzić inaczej niż w japonkach latem.
Podobnie jest w przypadku klawiatury więc te wszystkie techniki stosował bym pomocniczo a jako główne zabezpieczenie dobre hasło jeszcze długo będzie najpewniejsze.
Fajne. W pewnym stopniu można tą metodę zastosować nawet na zwykłych klawiaturach.
Ogólnie pomysła bardzo ciekawy, ale diabeł tkwi w szczegółach. Ciekaw jestem jak się ten system zachowa jak się np. skaleczę w palec, albo będę chory do tego stopnia, że będę stukał w klawiaturę dwoma palcami….
Albo coś dla mnie normalnego. Jedną ręką jeść sobie jabłko czy jakiś chleb a drugą pisać. Będzie tak samo jak z komendami głosowymi – niby jest ale działa tak, że szkoda słów.
Nie wspominając o trywialnym zdalnym logowaniu do systemu
Zapisana charakterystyka sposobu pisania danego użytkownika jest poddawana normalizacji, ma to z pewnością na celu uodpornienie całego systemu na drobne wahania danych wejściowych. Jak się to sprawdza w praktyce – nie mam pojęcia, ale sam pomysł wydaje się bardzo obiecujący!
Normalizacji, czyli daje to mniejszy lub większy zakres błędu. Too bad – czasem pisząc hasło się śpieszę, a czasem nie, co na pewno wpływa na wyżej opisane czynniki. To z kolei może spowodować, że przyjęty zakres błędu będzie istotnie duży. A może i mnie nie wpuści, póki "na spokojnie" nie wbiję hasła? Niech wybaczą, wolę mocne hasło od takich trudności.
No chyba żeby to była właśnie klawiaturka do PINu karty płatniczej/kredytowej, wtedy na takie trudności bym się zgodził.
Interesuje mnie ta "normalizacja" – czy algorytm powiększa zakres błędu, gdy ktoś się zaloguje z pewnym dużym, ale mieszczącym się w obecnym zakresie, odchyleniem? Muszę przeprowadzić rozpoznanie, bo właśnie przedstawiony model jest bardzo niebezpieczny, tym bardziej im więcej się wykonało poprawnych logowań.
A teraz konkurs: Kto zna jakieś przysłowie o żółtych karteczkach?
Zapytałem Google o 'przysłowie o żółtych karteczkach' i powiedziało mi: o 6.30 wszystkie skarpetki są czarne. Wprawdzie ja trochę nie widzę związku, ale z Googlami nie będę się kłócł…
lcamtuf pisał o czymś podobnym w Ciszy w Sieci…
Strasznie nowatorskie, ojoj jak bardzo… :/
3 lata temu próbowaliśmy wdrażać coś takiego:
http://www.deepnetsecurity.com/products2/TypeSens…
Więc panowie Jeff Allen oraz John Howard powinni zwrócić nagrodę za innowacyjność
Z tego co widzę, to rozwiązanie w linku było czysto programowe, czyli nie było przykładowo w stanie mierzyć siły nacisku (standardowa klawiatura tego nie potrafi). Jednak trzeba przyznać, że sam pomysł jest rzeczywiście bardzo podobny
.
Czytałem o tym z 15 lat temu w PC Kurier. Był tam nawet program w chyba Turbo Pascalu, który implementował taką przykładową funkcjonalność. Innowacja 2009? ROTLF
Też czytałem ten artykuł. Różnica była taka, że mierzono tylko odstępy.
Tyle, że sposób wprowadzania hasła zaraz po jego zmianie różni w znacznym stopniu od sposobu wprowadzania hasła po np. 30 dniach używania, kiedy jesteśmy do niego przyzwyczajeni
Dlatego właśnie interesuje mnie ta normalizacja.
Z drugiej strony, jeśli normalizacja nie jest progresywna – Ty nauczysz się wpisywać je TAK SAMO, gdy nie będzie Cię przepuszczało jeśli cokolwiek zmienisz w sposobie pisania. A więc będziesz musiał trzymać się pierwotnego sposobu i to wejdzie Ci w nawyk.
> Dlatego właśnie interesuje mnie ta normalizacja.
Prosze bardzo. Pare lat temu napisalem patcha do SSH + modul PAM
ktory robil statystyczna analize rytmu wklepywania hasla.
Z moich obserwacji: przez pierwsze 20 – 30 razy "uczymy sie"
wpisywac haslo, sa duze zmiany "statystyk". Ale po kilkudziesieciu
wklepaniach hasla zmiany wyplaszczaja sie i mozna juz tego uzywac.
Skutecznosc? Osobom ktorym podalem moje haslo nie udalo sie przejsc
ani razu przy 10-ciu probach. Natomiast zdarza sie, ze odrzuca
wlasciwego goscia, ale to akurat nie problem, bo wlasciwy gosc
po drugim, trzecim wpisaniu juz jest puszczany.
Gdzie tego patcha można znaleźć?
Pewnie gdzies w moich starych backupach.
Nie użyteczne kiedy jedno hasło używa kilka osób
Bo tak nie powinno się robić
Co nie zmienia faktu że jest to w wielu firmach powszechna praktyka
A co jeśli nagle moje umiejętności pisania na klawiaturze zmnieją się, np. zaczne szybciej pisać?
To proste — system cię nie wpuści, przez co umiejętności spadną do pierwotnego poziomu. (;
Nie lepiej sprawdzać tylko siłę nacisku? Naciśniesz słabiej – znak nie będzie brany pod uwagę. Naciśniesz mocniej – znak zostanie wprowadzony.
Można to połączyć z paroma innymi rzeczami.
Po pierwsze żadna innowacja.
Po drugie te dane "biometryczne" też można podsłuchać i powielić. Więc w tej kwestii nie ma to żadnej przewagi nad zwykłymi hasłami.
Po trzecie każda metoda oparta na powtarzaniu schematu (czy to jest samo hasło, czy też dodatkowo sposób jego wpisania) jest z góry przegrana. Po co opóźniać naturalną śmierć haseł na rzecz np. jednorazowych tokenów, wprowadzając jakieś pseudo bezpieczne rozwiązanie?
> Po trzecie każda metoda oparta na powtarzaniu schematu (czy to jest samo
> hasło, czy też dodatkowo sposób jego wpisania) jest z góry przegrana.
Dobre podsumowanie. Takie zabezpieczenie moze byc stosowane tylko
jako dodatek, za bardzo bym na tym nie polegal na dluzsza mete.
> Po co opóźniać naturalną śmierć haseł na rzecz np. jednorazowych
> tokenów, wprowadzając jakieś pseudo bezpieczne rozwiązanie?
A nie prosciej czytniki linii papilarnych? To sie robi i tanie i popularne.
Niestety odciski łatwo jest podrobić! Był program na Discovery chanel gdzie było to ładnie pokazane.
Czytnik linii papilarnych też generuje jedną daną. Jednorazowe podsłuchanie pozwala na ciągłe późniejsze podszywanie się.
Właściwie chyba tylko hasła jednorazowe/tokeny eliminują ten problem.
Wg. mnie ludziska za każdym razem będą wprowadzać swoje hasło inaczej. Zobaczymy, co wyniknie z tej metody po jej wprowadzeniu.
> Wg. mnie ludziska za każdym razem będą wprowadzać swoje hasło inaczej.
Mylisz sie. Zmienia sie tempo, ale proporcje czasow
miedzy uderzeniami sa dosyc stabilne.
Jesli masz haslo np: eoduc i wbijasz to jako:
e – 100ms – o – 150ms – d – 250ms – u – 150ms – c
To "normalizujesz" to np do:
e – 2 – o – 3 – d – 5 – u – 3 – c
Afair po tym robilem ordynarna roznice dlugosci wektorow miedzy
zapamietana a wprowadzona sekwencja wyrazona w procentach.
Wieki temu, programując na Atari 65XE (nie widzę tu nowatorstwa, jak odnajdę Bajtk-a to mogę skan artykułu przesłać) sprawdzałem czy faktycznie można na podstawie czasów pomiędzy naciśnięciami klawisza stwierdzić kto wpisuje daną frazę. I o dziwo to działa. Jedynym problemem jest "nauka" programu. Im dłużej program uczył się tym lepiej mu szła autoryzacja. Pamiętam, że sprawdzałem to na moich rodzicach i też działało. :d
Paranoja kompletna. Rzadko podobnie wpisuje hasło. Czasem robię to obiema rękoma czasem jedną, czasem kilkoma palcami czasem tylko wskazującym albo kciukiem. Czasem z rana czasem wieczorem, na laptopie przy biurku bądź na brzuchu na leżąco. Nierealne by było podobnie. Tak samo jak systemy do rozpoznawania podpisów, testowałem to, ale ja prawie nigdy nie mogę się podpisać w podobny sposób i zawsze mnie nie autoryzują…