Смартфон научили превращать любые предметы в токен аутентификации

Обычно для двухфакторной аутентификации используются коды, присылаемые на смартфон, или специальные устройства — токены. Исследователи из Международного университета Флориды и компании Bloomberg L.P. показали, что в качестве токенов можно использовать любые предметы. К примеру, пользователь может с помощью разработанного ими приложения превратить в токен свои часы, сняв их на камеру смартфона, при этом надежность такого метода составляет более 99,9 процента. Разработка была представлена на конференции IMWUT.

Обычно для защищенного доступа к устройству или интернет-сервисам используется комбинация имени пользователя и пароля. Это довольно удобно, но, если у пользователя установлен слабый пароль, то получить доступ к его аккаунту для злоумышленников не составит труда. Из-за этого многие сервисы поддерживают многофакторную аутентификацию. При такой схеме аутентификации помимо пароля используются и другие доказательства того, что в аккаунт входит именно его владелец, а не злоумышленник, к примеру, одноразовые коды, присылаемые через SMS или USB-токен, который физически находится в распоряжении пользователя.

Американские исследователи решили упростить технологию аутентификации с помощью токенов и создали приложение Pixie, которое позволяет вместо специализированных токенов использовать любые предметы. В основе разработки лежит открытая библиотека распознавания изображений OpenCV, а также программа для анализа данных и машинного обучения Weka. Поскольку предметы с ровной поверхностью имеют малое количество узнаваемых деталей, а также пользователь может снять предмет при плохом освещении или в движении, разработчики натренировали алгоритм для автоматического определения «плохих» фотографий.

Для создания токена пользователь должен сфотографировать его на камеру в приложении и в дальнейшем программа будет распознавать этот предмет как аналог токена для аутентификации. Основное удобство системы заключается в том, что пользователь может выбрать в качестве токена предмет, используемый каждый день — например, свои наручные часы или украшение. 

Исследователи протестировали систему на портале MyFIU, который содержит расписание занятий и другую информацию для студентов Международного университета Флориды. В тестировании на протяжении нескольких дней участвовало 42 студента, которым предложили входить в аккаунт не только с помощью комбинации имени пользователя и пароля, но и с помощью нового приложения. По результатам тестирования добровольцев опросили, и выяснилось, что запоминаемость ключа (текстового пароля или токена), скорость аутентификации и общее предпочтения оказались выше у нового метода.

Для проверки надежности разработчики протестировали систему на наборе данных, состоящем из изображений 40 тысяч предметов. Суммарное количество попыток аутентификации составило 14,3 миллиона раз. Доля ложных срабатываний составила 0,09 процента. Несмотря на успешные испытания исследователи пока не планируют коммерциализировать эту технологию.

Недавно ученые из Гонконга предложили использовать для защиты анализ движения губ пользователя при произнесении пароля. А другие исследователи предложили необычный способ безопасной передачи паролей. Для этого они решили использовать сигналы со сканеров отпечатков пальцев, которые генерируют сигналы, быстро рассеивающиеся в воздухе, но хорошо передаваемые человеческим телом.

Григорий Копиев