В Швейцарии придумали двухфакторную аутентификацию с использованием фонового шума

Команда специалистов по компьютерной безопасности из Швейцарской высшей технической школы Цюриха придумали новый метод ^[1]двухфакторной аутентификации пользователя, не требующий от последнего каких-либо действий. Метод, получивший название Sound-Proof ^[2], основан на записи и сравнении фонового шума в помещении, где находится пользователь.

Двухфакторная аутентификация — распространённый и действенный приём повышения безопасности пользователя. Если при однофакторной аутентификации достаточно знать лишь логин и пароль пользователя, чтобы войти в его аккаунт в любом веб-сервисе, то двухфакторная использует дополнительный канал связи с пользователем, чтобы убедиться, что его паролем не завладел злоумышленник.

Чаще всего в качестве второго канала выступает SMS-сообщение с одноразовым секретным кодом. В результате, если злоумышленник захочет выдать себя за другого, ему придётся не только завладеть обычным паролем, но и получить доступ к телефону жертвы (физически, или с помощью каких-либо троянских программ).

Но у всего есть как плюсы, так и минусы. Минусом такого подхода служит необходимость дополнительных телодвижений для пользователя. Нужно разблокировать телефон, прочесть SMS, и правильно ввести в форму браузера полученный код, удалить сообщение из телефона. Повышенная безопасность, как это часто бывает, обеспечивается за счёт неудобств.

Как известно, прогрессом двигает лень — поэтому швейцарцы придумали способ ^[3], как избавить пользователя от лишних хлопот. Для этого ему потребуется просто один раз установить на смартфон нужное приложение, и иметь в своём компьютере микрофон (в лэптопы он обычно встроен).

При попытке входа на ресурс, поддерживающий этот метод аутентификации, ресурс отсылает приложению команду, и оно в течение трёх секунд записывает фоновый шум в том месте, где оказался пользователь. То же самое делает и микрофон компьютера. Затем шумы сверяются. Если серверная программа подтверждает идентичность записей, то пользователь успешно входит в свою учётную запись.

И тут, конечно, есть свои трудности. Например, микрофоны в смартфоне и компьютере могут сильно отличаться по качеству. В настольном компьютере может вовсе не оказаться микрофона. Злоумышленник может провернуть вход в чужой аккаунт, находясь в том же помещении, что и пользователь (особенно это актуально для перехвата данных по wi-fi в кафе). Или же он может включить ту же радиостанцию или телеканал, что и пользователь.

Кроме того, повышается нагрузка на сервер, и понижается приватность пользователя — хотя разработчики утверждают, что запись происходит всего 3 секунды, а на сервер отправляется не аудиофайл, а созданная на его основе цифровая подпись. Но кто же это проверит?

На ум приходит упрощение такой технологии. Что, если приложению не нужно будет записывать шум и строить из него по сложным алгоритмам цифровую подпись? Ведь вместо этого оно может получить с сервера набор цифр и передать их в виде аудиосигналов при помощи своего динамика на микрофон компьютера, который расшифрует сигнал, и сравнит эти цифры с сервером — то есть, организовать нечто вроде примитивного модема.

Автор: SLY_G

Источник ^[4]