- PVSM.RU - https://www.pvsm.ru -
Команда специалистов по компьютерной безопасности из Швейцарской высшей технической школы Цюриха придумали новый метод [1]двухфакторной аутентификации пользователя, не требующий от последнего каких-либо действий. Метод, получивший название Sound-Proof [2], основан на записи и сравнении фонового шума в помещении, где находится пользователь.
Двухфакторная аутентификация — распространённый и действенный приём повышения безопасности пользователя. Если при однофакторной аутентификации достаточно знать лишь логин и пароль пользователя, чтобы войти в его аккаунт в любом веб-сервисе, то двухфакторная использует дополнительный канал связи с пользователем, чтобы убедиться, что его паролем не завладел злоумышленник.
Чаще всего в качестве второго канала выступает SMS-сообщение с одноразовым секретным кодом. В результате, если злоумышленник захочет выдать себя за другого, ему придётся не только завладеть обычным паролем, но и получить доступ к телефону жертвы (физически, или с помощью каких-либо троянских программ).
Но у всего есть как плюсы, так и минусы. Минусом такого подхода служит необходимость дополнительных телодвижений для пользователя. Нужно разблокировать телефон, прочесть SMS, и правильно ввести в форму браузера полученный код, удалить сообщение из телефона. Повышенная безопасность, как это часто бывает, обеспечивается за счёт неудобств.
Как известно, прогрессом двигает лень — поэтому швейцарцы придумали способ [3], как избавить пользователя от лишних хлопот. Для этого ему потребуется просто один раз установить на смартфон нужное приложение, и иметь в своём компьютере микрофон (в лэптопы он обычно встроен).
При попытке входа на ресурс, поддерживающий этот метод аутентификации, ресурс отсылает приложению команду, и оно в течение трёх секунд записывает фоновый шум в том месте, где оказался пользователь. То же самое делает и микрофон компьютера. Затем шумы сверяются. Если серверная программа подтверждает идентичность записей, то пользователь успешно входит в свою учётную запись.
И тут, конечно, есть свои трудности. Например, микрофоны в смартфоне и компьютере могут сильно отличаться по качеству. В настольном компьютере может вовсе не оказаться микрофона. Злоумышленник может провернуть вход в чужой аккаунт, находясь в том же помещении, что и пользователь (особенно это актуально для перехвата данных по wi-fi в кафе). Или же он может включить ту же радиостанцию или телеканал, что и пользователь.
Кроме того, повышается нагрузка на сервер, и понижается приватность пользователя — хотя разработчики утверждают, что запись происходит всего 3 секунды, а на сервер отправляется не аудиофайл, а созданная на его основе цифровая подпись. Но кто же это проверит?
На ум приходит упрощение такой технологии. Что, если приложению не нужно будет записывать шум и строить из него по сложным алгоритмам цифровую подпись? Ведь вместо этого оно может получить с сервера набор цифр и передать их в виде аудиосигналов при помощи своего динамика на микрофон компьютера, который расшифрует сигнал, и сравнит эти цифры с сервером — то есть, организовать нечто вроде примитивного модема.
Автор: SLY_G
Источник [4]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/96188
Ссылки в тексте:
[1] придумали новый метод : http://uk.pcmag.com/security-reviews/70388/news/swiss-researchers-testing-ambient-sound-for-two-fa
[2] Sound-Proof: http://sound-proof.ch/
[3] швейцарцы придумали способ: http://arxiv.org/abs/1503.03790
[4] Источник: http://geektimes.ru/post/260320/
Нажмите здесь для печати.