零努力的計(jì)算機(jī)安全是一個(gè)夢(mèng)想嗎破壞新的用戶(hù)驗(yàn)證系統(tǒng)

2020-03-21 21:15:46 編輯：來(lái)源：

導(dǎo)讀來(lái)自伯明翰阿拉巴馬大學(xué)和阿爾托大學(xué)的研究人員在最近提出的計(jì)算機(jī)用戶(hù)驗(yàn)證安全系統(tǒng)中發(fā)現(xiàn)了漏洞。這一新的安全系統(tǒng)是由達(dá)特茅斯學(xué)院的研究人員開(kāi)發(fā)的，是為了響應(yīng)對(duì)易于使用的系統(tǒng)的需求而創(chuàng)建的，這些系統(tǒng)決定了某人是否實(shí)際上是他或她正在聲明的人-一個(gè)被稱(chēng)為身份驗(yàn)證的過(guò)程。 “在我們這個(gè)以技術(shù)為基礎(chǔ)的社會(huì)里，我們需要一個(gè)密碼來(lái)做每一件事——從銀行到交流?！盌，新興計(jì)算和網(wǎng)絡(luò)系統(tǒng)安全和隱私實(shí)驗(yàn)室主任，UAB藝

來(lái)自伯明翰阿拉巴馬大學(xué)和阿爾托大學(xué)的研究人員在最近提出的計(jì)算機(jī)用戶(hù)驗(yàn)證安全系統(tǒng)中發(fā)現(xiàn)了漏洞。

這一新的安全系統(tǒng)是由達(dá)特茅斯學(xué)院的研究人員開(kāi)發(fā)的，是為了響應(yīng)對(duì)易于使用的系統(tǒng)的需求而創(chuàng)建的，這些系統(tǒng)決定了某人是否實(shí)際上是他或她正在聲明的人-一個(gè)被稱(chēng)為身份驗(yàn)證的過(guò)程。

“在我們這個(gè)以技術(shù)為基礎(chǔ)的社會(huì)里，我們需要一個(gè)密碼來(lái)做每一件事——從銀行到交流。”D.，新興計(jì)算和網(wǎng)絡(luò)系統(tǒng)安全和隱私實(shí)驗(yàn)室主任，UAB藝術(shù)和科學(xué)學(xué)院計(jì)算機(jī)和信息科學(xué)副教授。“由于人們往往難以記住不同平臺(tái)的所有不同密碼，因此識(shí)別簡(jiǎn)單但安全的登錄和注銷(xiāo)方法有很多價(jià)值。”

在涉及病人機(jī)密信息的醫(yī)院等多用戶(hù)組織中，防止一個(gè)人使用他人的登錄會(huì)話(huà)，甚至意外，這一點(diǎn)尤為關(guān)鍵。

Saxena說(shuō)：“安全界在實(shí)現(xiàn)正確的認(rèn)證系統(tǒng)方面取得了進(jìn)展。“但設(shè)計(jì)一款既方便用戶(hù)又安全的手機(jī)絕非易事。”

來(lái)自達(dá)特茅斯學(xué)院的研究人員試圖解決這個(gè)問(wèn)題，并通過(guò)ZEBRA的開(kāi)發(fā)或零努力雙邊循環(huán)認(rèn)證來(lái)創(chuàng)建安全、用戶(hù)友好的認(rèn)證。零努力認(rèn)證系統(tǒng)，如ZEBRA，將用戶(hù)排除在等式之外，這樣就不需要任何用戶(hù)的努力來(lái)確保安全會(huì)話(huà)。

新系統(tǒng)的設(shè)計(jì)是為了解決去認(rèn)證的潛在安全問(wèn)題，理想情況下，用戶(hù)的設(shè)備在退出會(huì)話(huà)后立即注銷(xiāo)或鎖定自己。ZEBRA提供了一種零功耗的去認(rèn)證方法，通過(guò)比較用戶(hù)在設(shè)備（如計(jì)算機(jī)終端）上所做的事情和手腕佩戴的手鐲的測(cè)量結(jié)果，不斷地認(rèn)證登錄用戶(hù)。

“現(xiàn)在，這個(gè)裝置對(duì)同一現(xiàn)象有兩種不同的雙邊看法：第一種是直接相互作用的順序，第二種是從測(cè)量中推斷出的預(yù)測(cè)相互作用的順序，”阿爾托大學(xué)計(jì)算機(jī)科學(xué)系教授N.Asokan說(shuō)。“如果這兩個(gè)序列匹配，ZEBRA可以得出結(jié)論，與之交互的人是在當(dāng)前登錄會(huì)話(huà)中佩戴正確手鐲的同一個(gè)人。相反，如果序列發(fā)散，則ZEBRA可以迅速自動(dòng)地對(duì)當(dāng)前登錄會(huì)話(huà)進(jìn)行去認(rèn)證。

由國(guó)家科學(xué)基金會(huì)和芬蘭學(xué)院資助的UAB和Aalto大學(xué)研究表明，雖然ZEBRA是一個(gè)旨在實(shí)現(xiàn)及時(shí)和方便用戶(hù)的身份驗(yàn)證的系統(tǒng)，與誠(chéng)實(shí)的人合作非常好，但機(jī)會(huì)主義的攻擊者可以愚弄系統(tǒng)，Asokan解釋說(shuō)。

在這項(xiàng)研究中，20名測(cè)試參與者扮演了受害者的角色，而研究人員則扮演了攻擊者的角色。襲擊者模仿受害者在他們的裝置上所做的事情。

Saxena說(shuō)：“我們想評(píng)估ZEBRA是否能夠被擊敗，以衡量它在面對(duì)一個(gè)積極試圖劫持用戶(hù)登錄會(huì)話(huà)的人時(shí)會(huì)有多安全。“我們發(fā)現(xiàn)，機(jī)會(huì)主義的攻擊者可以很容易地利用用戶(hù)。”

機(jī)會(huì)主義攻擊者可以選擇靠近受害者，看到或聽(tīng)到受害者在做什么，并決定模仿什么互動(dòng)。例如，只使用鍵盤(pán)的攻擊者可以在受害者使用之前停止鍵入，并忽略用戶(hù)的鍵盤(pán)交互之外的所有內(nèi)容。

阿索坎說(shuō)：“當(dāng)攻擊者用一個(gè)開(kāi)放的會(huì)話(huà)訪(fǎng)問(wèn)一臺(tái)計(jì)算機(jī)，并仔細(xì)選擇他在計(jì)算機(jī)上所做的事情時(shí)，ZEBRA無(wú)法將他注銷(xiāo)。“實(shí)際上，機(jī)會(huì)主義攻擊者在40%的時(shí)間里逃避偵查，只是在受害者認(rèn)為會(huì)成功的時(shí)候才模仿受害者。”

雖然容易受到機(jī)會(huì)主義對(duì)手的影響，但ZEBRA在防止無(wú)辜對(duì)手意外濫用方面仍然表現(xiàn)良好。

“對(duì)攻擊者所能做的建模是很困難的。我們指出，攻擊者的建模不充分會(huì)導(dǎo)致關(guān)于系統(tǒng)安全性的錯(cuò)誤結(jié)論，”阿索坎說(shuō)。“有了一個(gè)現(xiàn)實(shí)的攻擊者模型，一個(gè)系統(tǒng)的缺點(diǎn)就會(huì)變得更加明顯，并且可以得到解決。”

阿爾托大學(xué)和UAB之間的這項(xiàng)聯(lián)合工作今天將在2016年圣地亞哥網(wǎng)絡(luò)和分布式系統(tǒng)安全研討會(huì)上介紹。

標(biāo)簽：系統(tǒng)