Исследование возглавляет Нитеш Саксена, доктор философии, доцент кафедры компьютерных и информационных наук и соруководитель Центра обеспечения информации и совместных криминалистических исследований. Эта работа, выполненная в сотрудничестве с Университетом Хельсинки и Университетом Аалто в Финляндии, была недавно представлена на Международной конференции по распространенным вычислениям и коммуникациям и конференции по финансовой криптографии и безопасности данных.
Аутентификация без взаимодействия позволяет пользователю получить доступ к терминалу, например к ноутбуку или автомобилю, без взаимодействия с устройством. Доступ предоставляется, когда проверяющая система может обнаружить токен безопасности пользователя, такой как мобильный телефон или ключ от машины, с помощью протокола аутентификации по каналу беспроводной связи малого радиуса действия, например Bluetooth. Это устраняет необходимость в пароле и снижает связанные с ними риски безопасности.Типичным примером такой аутентификации является пассивная система входа и запуска без ключа, которая открывает дверь автомобиля или запускает двигатель в зависимости от близости жетона к автомобилю.
Эта технология также может использоваться для обеспечения безопасного доступа к компьютерам. Например, приложение BlueProximity позволяет пользователю разблокировать экран в режиме ожидания на компьютере, просто физически приблизившись к компьютеру, держа в руке мобильный телефон, настроенный для подключения к нему.
Однако существующие схемы аутентификации с нулевым взаимодействием уязвимы для ретрансляционных атак, обычно называемых атаками с использованием призрака и пиявки, в которых хакер или призрак успешно проходит аутентификацию на терминале от имени пользователя, вступая в сговор с другим хакером, или пиявка, которая находится рядом с пользователем в другом месте, — говорит Саксена.«Цель нашего исследования — изучить существующие меры безопасности, применяемые в системах аутентификации с нулевым взаимодействием, и улучшить их», — сказал Саксена. «Мы хотим определить механизм, который обеспечит повышенную защиту от ретрансляционных атак и сохранит простоту использования».Исследователи изучили два типа сенсорных модальностей, которые могут защитить системы с нулевым взаимодействием от ретрансляционных атак, не влияя на удобство использования.
Во-первых, они изучили четыре типа датчиков, которые обычно присутствуют на устройствах: Wi-Fi, Bluetooth, GPS и аудио. Во-вторых, они рассмотрели возможности использования физических датчиков окружающей среды в качестве механизма обнаружения приближения и сосредоточили внимание на четырех аспектах: температуре окружающей среды, точном газе, влажности и высоте. Каждый из этих способов помогает системе аутентификации проверить, что два устройства, пытающиеся подключиться друг к другу, находятся в одном месте, и предотвратить атаку «призрак и пиявка».
Исследование показало, что сочетание сенсорных модальностей обеспечивает дополнительную безопасность. «Наши результаты показывают, что индивидуальная модальность сенсора может не обеспечивать достаточного уровня безопасности и удобства использования», — сказал Саксена. «Однако сочетание нескольких модальностей приводит к надежной защите от ретрансляционных атак и удобству использования».По словам Саксены, платформы, которые используют сенсорные методы для предотвращения ретрансляционных атак в мобильных и беспроводных системах, доступны на многих смартфонах или могут быть добавлены с помощью дополнительных устройств, и, вероятно, они станут более обычным явлением в ближайшем будущем.
«Пользователи смогут использовать приложение на своих телефонах для блокировки и разблокировки своих ноутбуков, настольных компьютеров или даже автомобилей без паролей и без необходимости беспокоиться о релейных атаках», — сказал Бабинс Шреста, докторант UAB и соавтор книги. бумаги. «Наше исследование показывает, что это может быть сделано при сохранении высокого уровня удобства использования и безопасности».