Обычно для двухфакторной аутентификации используются коды, присылаемые на смартфон, или специальные устройства — токены. Исследователи из Международного университета Флориды и компании Bloomberg L.P. показали, что в качестве токенов можно использовать любые предметы. К примеру, пользователь может с помощью разработанного ими приложения превратить в токен свои часы, сняв их на камеру смартфона, при этом надежность такого метода составляет более 99,9 процента. Разработка была представлена на конференции IMWUT.
Обычно для защищенного доступа к устройству или интернет-сервисам используется комбинация имени пользователя и пароля. Это довольно удобно, но, если у пользователя установлен слабый пароль, то получить доступ к его аккаунту для злоумышленников не составит труда. Из-за этого многие сервисы поддерживают многофакторную аутентификацию. При такой схеме аутентификации помимо пароля используются и другие доказательства того, что в аккаунт входит именно его владелец, а не злоумышленник, к примеру, одноразовые коды, присылаемые через SMS или USB-токен, который физически находится в распоряжении пользователя.
Американские исследователи решили упростить технологию аутентификации с помощью токенов и создали приложение Pixie, которое позволяет вместо специализированных токенов использовать любые предметы. В основе разработки лежит открытая библиотека распознавания изображений OpenCV, а также программа для анализа данных и машинного обучения Weka. Поскольку предметы с ровной поверхностью имеют малое количество узнаваемых деталей, а также пользователь может снять предмет при плохом освещении или в движении, разработчики натренировали алгоритм для автоматического определения «плохих» фотографий.
Для создания токена пользователь должен сфотографировать его на камеру в приложении и в дальнейшем программа будет распознавать этот предмет как аналог токена для аутентификации. Основное удобство системы заключается в том, что пользователь может выбрать в качестве токена предмет, используемый каждый день — например, свои наручные часы или украшение.
Исследователи протестировали систему на портале MyFIU, который содержит расписание занятий и другую информацию для студентов Международного университета Флориды. В тестировании на протяжении нескольких дней участвовало 42 студента, которым предложили входить в аккаунт не только с помощью комбинации имени пользователя и пароля, но и с помощью нового приложения. По результатам тестирования добровольцев опросили, и выяснилось, что запоминаемость ключа (текстового пароля или токена), скорость аутентификации и общее предпочтения оказались выше у нового метода.
Для проверки надежности разработчики протестировали систему на наборе данных, состоящем из изображений 40 тысяч предметов. Суммарное количество попыток аутентификации составило 14,3 миллиона раз. Доля ложных срабатываний составила 0,09 процента. Несмотря на успешные испытания исследователи пока не планируют коммерциализировать эту технологию.
Недавно ученые из Гонконга предложили использовать для защиты анализ движения губ пользователя при произнесении пароля. А другие исследователи предложили необычный способ безопасной передачи паролей. Для этого они решили использовать сигналы со сканеров отпечатков пальцев, которые генерируют сигналы, быстро рассеивающиеся в воздухе, но хорошо передаваемые человеческим телом.
Григорий Копиев
Как сегодня говорят про нейросети, мемы и жизнь в интернете
Культура меняется быстро. Позавчера мы смотрели демотиваторы на сайтах, сегодня ждем, когда любимый канал с мемами выложит новую порцию. Вчера мы перестали звонить без разрешения («Наберу?»), сегодня оправдываемся за голосовые сообщения. Рисовали в фотошопе — а теперь скармливаем Midjorney содержание сна. За этой сменой правил, законов и обычаев интернета следят антропологи, культурологи, искусствоведы и социологи. Мы составили краткий словарь новых терминов — и очертили круг вопросов, которые обозначаемые явления вызывают у исследователей. Просто чтобы вы были в курсе и могли без переводчика послушать выступления гостей междисциплинарной конференции о вебе, цифровой среде и интернет-культуре Screenshot_2023, которую провел Музей криптографии. Кстати, записи выступлений спикеров и публичных дискуссий конференции скоро можно будет посмотреть здесь.