Смартфон научили превращать любые предметы в токен аутентификации

Azimpourkivi et al. / Proceedings of the ACM on Interactive, Mobile, Wearable and Ubiquitous Technologies, 2017
Обычно для двухфакторной аутентификации используются коды, присылаемые на смартфон, или специальные устройства — токены. Исследователи из Международного университета Флориды и компании Bloomberg L.P. показали, что в качестве токенов можно использовать любые предметы. К примеру, пользователь может с помощью разработанного ими приложения превратить в токен свои часы, сняв их на камеру смартфона, при этом надежность такого метода составляет более 99,9 процента. Разработка была представлена на конференции IMWUT.
Обычно для защищенного доступа к устройству или интернет-сервисам используется комбинация имени пользователя и пароля. Это довольно удобно, но, если у пользователя установлен слабый пароль, то получить доступ к его аккаунту для злоумышленников не составит труда. Из-за этого многие сервисы поддерживают многофакторную аутентификацию. При такой схеме аутентификации помимо пароля используются и другие доказательства того, что в аккаунт входит именно его владелец, а не злоумышленник, к примеру, одноразовые коды, присылаемые через SMS или USB-токен, который физически находится в распоряжении пользователя.
Американские исследователи решили упростить технологию аутентификации с помощью токенов и создали приложение Pixie, которое позволяет вместо специализированных токенов использовать любые предметы. В основе разработки лежит открытая библиотека распознавания изображений OpenCV, а также программа для анализа данных и машинного обучения Weka. Поскольку предметы с ровной поверхностью имеют малое количество узнаваемых деталей, а также пользователь может снять предмет при плохом освещении или в движении, разработчики натренировали алгоритм для автоматического определения «плохих» фотографий.
Для создания токена пользователь должен сфотографировать его на камеру в приложении и в дальнейшем программа будет распознавать этот предмет как аналог токена для аутентификации. Основное удобство системы заключается в том, что пользователь может выбрать в качестве токена предмет, используемый каждый день — например, свои наручные часы или украшение.
Исследователи протестировали систему на портале MyFIU, который содержит расписание занятий и другую информацию для студентов Международного университета Флориды. В тестировании на протяжении нескольких дней участвовало 42 студента, которым предложили входить в аккаунт не только с помощью комбинации имени пользователя и пароля, но и с помощью нового приложения. По результатам тестирования добровольцев опросили, и выяснилось, что запоминаемость ключа (текстового пароля или токена), скорость аутентификации и общее предпочтения оказались выше у нового метода.
Недавно ученые из Гонконга предложили использовать для защиты анализ движения губ пользователя при произнесении пароля. А другие исследователи предложили необычный способ безопасной передачи паролей. Для этого они решили использовать сигналы со сканеров отпечатков пальцев, которые генерируют сигналы, быстро рассеивающиеся в воздухе, но хорошо передаваемые человеческим телом.
Григорий Копиев