2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
來自伯明翰阿拉巴馬大學(xué)和阿爾托大學(xué)的研究人員在最近提出的計(jì)算機(jī)用戶驗(yàn)證安全系統(tǒng)中發(fā)現(xiàn)了漏洞。
這一新的安全系統(tǒng)是由達(dá)特茅斯學(xué)院的研究人員開發(fā)的,是為了響應(yīng)對易于使用的系統(tǒng)的需求而創(chuàng)建的,這些系統(tǒng)決定了某人是否實(shí)際上是他或她正在聲明的人-一個被稱為身份驗(yàn)證的過程。
“在我們這個以技術(shù)為基礎(chǔ)的社會里,我們需要一個密碼來做每一件事——從銀行到交流。”D.,新興計(jì)算和網(wǎng)絡(luò)系統(tǒng)安全和隱私實(shí)驗(yàn)室主任,UAB藝術(shù)和科學(xué)學(xué)院計(jì)算機(jī)和信息科學(xué)副教授。“由于人們往往難以記住不同平臺的所有不同密碼,因此識別簡單但安全的登錄和注銷方法有很多價值。”
在涉及病人機(jī)密信息的醫(yī)院等多用戶組織中,防止一個人使用他人的登錄會話,甚至意外,這一點(diǎn)尤為關(guān)鍵。
Saxena說:“安全界在實(shí)現(xiàn)正確的認(rèn)證系統(tǒng)方面取得了進(jìn)展。“但設(shè)計(jì)一款既方便用戶又安全的手機(jī)絕非易事。”
來自達(dá)特茅斯學(xué)院的研究人員試圖解決這個問題,并通過ZEBRA的開發(fā)或零努力雙邊循環(huán)認(rèn)證來創(chuàng)建安全、用戶友好的認(rèn)證。零努力認(rèn)證系統(tǒng),如ZEBRA,將用戶排除在等式之外,這樣就不需要任何用戶的努力來確保安全會話。
新系統(tǒng)的設(shè)計(jì)是為了解決去認(rèn)證的潛在安全問題,理想情況下,用戶的設(shè)備在退出會話后立即注銷或鎖定自己。ZEBRA提供了一種零功耗的去認(rèn)證方法,通過比較用戶在設(shè)備(如計(jì)算機(jī)終端)上所做的事情和手腕佩戴的手鐲的測量結(jié)果,不斷地認(rèn)證登錄用戶。
“現(xiàn)在,這個裝置對同一現(xiàn)象有兩種不同的雙邊看法:第一種是直接相互作用的順序,第二種是從測量中推斷出的預(yù)測相互作用的順序,”阿爾托大學(xué)計(jì)算機(jī)科學(xué)系教授N.Asokan說。“如果這兩個序列匹配,ZEBRA可以得出結(jié)論,與之交互的人是在當(dāng)前登錄會話中佩戴正確手鐲的同一個人。相反,如果序列發(fā)散,則ZEBRA可以迅速自動地對當(dāng)前登錄會話進(jìn)行去認(rèn)證。
由國家科學(xué)基金會和芬蘭學(xué)院資助的UAB和Aalto大學(xué)研究表明,雖然ZEBRA是一個旨在實(shí)現(xiàn)及時和方便用戶的身份驗(yàn)證的系統(tǒng),與誠實(shí)的人合作非常好,但機(jī)會主義的攻擊者可以愚弄系統(tǒng),Asokan解釋說。
在這項(xiàng)研究中,20名測試參與者扮演了受害者的角色,而研究人員則扮演了攻擊者的角色。襲擊者模仿受害者在他們的裝置上所做的事情。
Saxena說:“我們想評估ZEBRA是否能夠被擊敗,以衡量它在面對一個積極試圖劫持用戶登錄會話的人時會有多安全。“我們發(fā)現(xiàn),機(jī)會主義的攻擊者可以很容易地利用用戶。”
機(jī)會主義攻擊者可以選擇靠近受害者,看到或聽到受害者在做什么,并決定模仿什么互動。例如,只使用鍵盤的攻擊者可以在受害者使用之前停止鍵入,并忽略用戶的鍵盤交互之外的所有內(nèi)容。
阿索坎說:“當(dāng)攻擊者用一個開放的會話訪問一臺計(jì)算機(jī),并仔細(xì)選擇他在計(jì)算機(jī)上所做的事情時,ZEBRA無法將他注銷。“實(shí)際上,機(jī)會主義攻擊者在40%的時間里逃避偵查,只是在受害者認(rèn)為會成功的時候才模仿受害者。”
雖然容易受到機(jī)會主義對手的影響,但ZEBRA在防止無辜對手意外濫用方面仍然表現(xiàn)良好。
“對攻擊者所能做的建模是很困難的。我們指出,攻擊者的建模不充分會導(dǎo)致關(guān)于系統(tǒng)安全性的錯誤結(jié)論,”阿索坎說。“有了一個現(xiàn)實(shí)的攻擊者模型,一個系統(tǒng)的缺點(diǎn)就會變得更加明顯,并且可以得到解決。”
阿爾托大學(xué)和UAB之間的這項(xiàng)聯(lián)合工作今天將在2016年圣地亞哥網(wǎng)絡(luò)和分布式系統(tǒng)安全研討會上介紹。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。