Дартмутская организация «Надежное здоровье и благополучие» (THaW) / исследователи недавно представили свои выводы на симпозиуме IEEE по безопасности и конфиденциальности.
Обычные методы аутентификации, основанные на паролях, токенах или отпечатках пальцев, выполняют одноразовую аутентификацию и полагаются на то, что пользователи выходят из системы с компьютерного терминала, когда они уходят. Но пользователи часто не выходят из системы, что представляет угрозу безопасности. Наиболее распространенное решение: тайм-ауты бездействия, неизбежный отказ безопасности (слишком длинный тайм-аут) или удобства использования (слишком короткий тайм-аут).
Одним из решений является постоянная аутентификация пользователей, пока они используют терминал, и автоматический выход из системы, когда они уходят. Некоторые решения основаны на близости пользователя, но этого недостаточно: они подтверждают, находится ли пользователь поблизости, но не проверяет, действительно ли пользователь использует терминал.
Другие предлагаемые решения, основанные на поведенческой биометрии (e.грамм., динамика нажатия клавиш) могут быть ненадежными, как показывают недавние исследования.
Чтобы решить эту проблему, Шриранг Маре, доктор компьютерных наук из Дартмута.D. студент, разработал подход под названием двусторонняя повторяющаяся аутентификация с нулевым усилием, или ZEBRA. В ZEBRA пользователь носит браслет со встроенным акселерометром, гироскопом и радио на своем доминирующем запястье; такие браслеты обычно продаются как фитнес-устройства. Когда пользователь взаимодействует с компьютерным терминалом, браслет записывает движение запястья, обрабатывает его и отправляет на терминал.
Терминал сравнивает движение запястья с входными данными, которые он получает от пользователя с помощью клавиатуры и мыши, и подтверждает постоянное присутствие пользователя только в том случае, если они соотносятся. Поскольку браслет находится на той же руке, которая обеспечивает ввод данных на терминал, данные акселерометра и гироскопа и входные события, полученные терминалом, должны коррелировать, поскольку их источник один и тот же — движение руки пользователя.
В экспериментах ZEBRA выполняла непрерывную аутентификацию с точностью 85%, проверяя правильного пользователя, и идентифицировала всех злоумышленников в течение 11 секунд. Для другого порогового значения, при котором безопасность заменяется удобством использования, ZEBRA правильно проверила 90 процентов пользователей и определила всех злоумышленников в течение 50 секунд. Таким образом, ZEBRA может распознать (менее чем за минуту), когда неуполномоченное лицо вмешивается, чтобы использовать терминал, если первоначальный пользователь отошел от терминала.
Такая быстрая реакция может предотвратить ошибки — например, случайный ввод информации медицинским персоналом в медицинскую карту не того пациента — или несоответствующее поведение, например, случай, когда случайный прохожий изучает личную медицинскую информацию или финансовые данные, воспользовавшись компьютером, оставленным открытым для авторизованный пользователь.
«В этой работе мы сосредоточились на проблеме деаутентификации для настольных компьютеров, потому что нас мотивировали связанные с этим проблемы, с которыми сталкиваются медицинские работники в больницах», — говорит старший автор исследования профессор Дэвид Котц. «Было бы естественно распространить ZEBRA на мобильные устройства, такие как смартфоны или планшетные компьютеры, и мы считаем, что это возможно, несмотря на некоторые другие проблемы."
В принципе, ZEBRA также может быть расширена на другие устройства, такие как телевизионные пульты, игровые контроллеры или медицинские устройства — любое устройство, на которое пользователь часто вводит данные рукой. Однако для этих устройств приложение может быть больше для повышения удобства использования, чем для обеспечения безопасности.
Например, если пульт от телевизора может идентифицировать, кто его держит, он может предоставлять персонализированные функции, что может улучшить взаимодействие с пользователем. Выявление того, кто использует конкретное медицинское устройство или датчик, может помочь обеспечить безопасную аттестацию пользователя, которая будет полезна специалистам в области здравоохранения.