Пароли больше не нужны?

Пароли являются общей мерой безопасности для защиты личной информации, но они не всегда препятствуют хакерам найти способ проникновения в устройства. Исследователи из Университета штата Алабама в Бирмингеме работают над усовершенствованием легкой в использовании, надежной защиты входа, которая исключает необходимость использования пароля, известной как аутентификации нулевого взаимодействия.

Исследование возглавляет д-р Нитеш Саксена (Nitesh Saxena), адъюнкт-профессор кафедры компьютерных и информационных наук и один из руководителей Центра обеспечения сохранности информации и объединенных исследований в криминалистике.

Аутентификация нулевого взаимодействия позволяет пользователю получить доступ к терминалу, например, ноутбуку или автомобилю, без взаимодействия с устройством. Доступ предоставляется, когда проверяющая система может обнаружить маркер безопасности пользователя, например, мобильного телефона или ключа от машины, с использованием протокола аутентификации близкодействующего беспроводного канала связи, например Bluetooth. Это устраняет необходимость в пароле и уменьшает риски в области безопасности, связанные с ним.

Типичным примером такой аутентификации является пассивный безключевой вход и запуск системы, которая открывает дверь машины или запускает двигатель автомобиля, основанный на близости маркера к машине. Эта технология также может использоваться, чтобы обеспечить безопасный доступ к компьютерам. Например, приложение под названием BlueProximity позволяет пользователю разблокировать экран ожидания в компьютере, просто физически приближаясь к компьютеру, держа мобильный телефон, который был настроен для подключения к нему.

Тем не менее, существующие схемы аутентификации с нулевым взаимодействием уязвимы для ретрансляции атаки, обычно называемой атакой «человек посередине» или призрак-и-пиявка, в которой хакер, или призрак, осуществляет аутентификацию от имени пользователя, будучи в сговоре с другим хакером, или пиявкой, который близок к пользователю, находящемуся в другом месте, говорит Саксена.

«Целью нашего исследования является изучение существующих мер безопасности, которые используют системы аутентификации нулевого взаимодействия, и улучшения их, - сказал Саксена. - Мы хотим определить механизм, который обеспечит повышенную безопасность от ретрансляционных атак и при этом будет прост в использовании».

Исследователи изучили два типа датчиков, которые могут защитить системы нулевого взаимодействия против ретрансляционных атак, не затрагивая удобство использования. Во-первых, они исследовали четыре сенсорных механизма, которые обычно присутствуют на устройствах: Wi-Fi, Bluetooth, GPS и аудио. Во-вторых, они оценили возможности использования внешних физических датчиков в качестве механизма близкого обнаружения и сосредоточились на четырех: внешней температуре, газовом составе, влажности и высоте. Каждый из этих методов помогает системе аутентификации убедиться, что два устройства пытаются соединиться друг с другом в том же месте и сорвать атаку призрак-и-пиявка.

Исследование показало, что данные типы датчиков, используемых в сочетании, обеспечивают дополнительную безопасность.

Платформы, которые используют механизмы датчиков для предотвращения ретрансляционных атак в мобильных и беспроводных системах, доступны на многих смартфонах или могут быть добавлены с помощью устройства расширения, и они, вероятно, станут более распространенными в ближайшем будущем, сказал Саксена.

«Владельцы смогут использовать приложения на своих телефонах для блокировки и разблокировки ноутбуков, настольных компьютеров или даже автомобилей без паролей, не беспокоясь о ретрансляционных атаках, - сказал Бабинс Шреста (Babins Shrestha), докторант и соавтор статьи. - Наше исследование показывает, что это может быть сделано при сохранении высокого уровня безопасности и удобства использования».