零努力的計(jì)算機(jī)安全是一個(gè)夢(mèng)想嗎破壞新的用戶驗(yàn)證系統(tǒng)

2020-03-21 21:15:46 編輯：來源：

導(dǎo)讀來自伯明翰阿拉巴馬大學(xué)和阿爾托大學(xué)的研究人員在最近提出的計(jì)算機(jī)用戶驗(yàn)證安全系統(tǒng)中發(fā)現(xiàn)了漏洞。這一新的安全系統(tǒng)是由達(dá)特茅斯學(xué)院的研究人員開發(fā)的，是為了響應(yīng)對(duì)易于使用的系統(tǒng)的需求而創(chuàng)建的，這些系統(tǒng)決定了某人是否實(shí)際上是他或她正在聲明的人-一個(gè)被稱為身份驗(yàn)證的過程。 “在我們這個(gè)以技術(shù)為基礎(chǔ)的社會(huì)里，我們需要一個(gè)密碼來做每一件事——從銀行到交流?！盌，新興計(jì)算和網(wǎng)絡(luò)系統(tǒng)安全和隱私實(shí)驗(yàn)室主任，UAB藝

來自伯明翰阿拉巴馬大學(xué)和阿爾托大學(xué)的研究人員在最近提出的計(jì)算機(jī)用戶驗(yàn)證安全系統(tǒng)中發(fā)現(xiàn)了漏洞。

這一新的安全系統(tǒng)是由達(dá)特茅斯學(xué)院的研究人員開發(fā)的，是為了響應(yīng)對(duì)易于使用的系統(tǒng)的需求而創(chuàng)建的，這些系統(tǒng)決定了某人是否實(shí)際上是他或她正在聲明的人-一個(gè)被稱為身份驗(yàn)證的過程。

“在我們這個(gè)以技術(shù)為基礎(chǔ)的社會(huì)里，我們需要一個(gè)密碼來做每一件事——從銀行到交流。”D.，新興計(jì)算和網(wǎng)絡(luò)系統(tǒng)安全和隱私實(shí)驗(yàn)室主任，UAB藝術(shù)和科學(xué)學(xué)院計(jì)算機(jī)和信息科學(xué)副教授。“由于人們往往難以記住不同平臺(tái)的所有不同密碼，因此識(shí)別簡(jiǎn)單但安全的登錄和注銷方法有很多價(jià)值。”

在涉及病人機(jī)密信息的醫(yī)院等多用戶組織中，防止一個(gè)人使用他人的登錄會(huì)話，甚至意外，這一點(diǎn)尤為關(guān)鍵。

Saxena說：“安全界在實(shí)現(xiàn)正確的認(rèn)證系統(tǒng)方面取得了進(jìn)展。“但設(shè)計(jì)一款既方便用戶又安全的手機(jī)絕非易事。”

來自達(dá)特茅斯學(xué)院的研究人員試圖解決這個(gè)問題，并通過ZEBRA的開發(fā)或零努力雙邊循環(huán)認(rèn)證來創(chuàng)建安全、用戶友好的認(rèn)證。零努力認(rèn)證系統(tǒng)，如ZEBRA，將用戶排除在等式之外，這樣就不需要任何用戶的努力來確保安全會(huì)話。

新系統(tǒng)的設(shè)計(jì)是為了解決去認(rèn)證的潛在安全問題，理想情況下，用戶的設(shè)備在退出會(huì)話后立即注銷或鎖定自己。ZEBRA提供了一種零功耗的去認(rèn)證方法，通過比較用戶在設(shè)備（如計(jì)算機(jī)終端）上所做的事情和手腕佩戴的手鐲的測(cè)量結(jié)果，不斷地認(rèn)證登錄用戶。

“現(xiàn)在，這個(gè)裝置對(duì)同一現(xiàn)象有兩種不同的雙邊看法：第一種是直接相互作用的順序，第二種是從測(cè)量中推斷出的預(yù)測(cè)相互作用的順序，”阿爾托大學(xué)計(jì)算機(jī)科學(xué)系教授N.Asokan說。“如果這兩個(gè)序列匹配，ZEBRA可以得出結(jié)論，與之交互的人是在當(dāng)前登錄會(huì)話中佩戴正確手鐲的同一個(gè)人。相反，如果序列發(fā)散，則ZEBRA可以迅速自動(dòng)地對(duì)當(dāng)前登錄會(huì)話進(jìn)行去認(rèn)證。

由國家科學(xué)基金會(huì)和芬蘭學(xué)院資助的UAB和Aalto大學(xué)研究表明，雖然ZEBRA是一個(gè)旨在實(shí)現(xiàn)及時(shí)和方便用戶的身份驗(yàn)證的系統(tǒng)，與誠實(shí)的人合作非常好，但機(jī)會(huì)主義的攻擊者可以愚弄系統(tǒng)，Asokan解釋說。

在這項(xiàng)研究中，20名測(cè)試參與者扮演了受害者的角色，而研究人員則扮演了攻擊者的角色。襲擊者模仿受害者在他們的裝置上所做的事情。

Saxena說：“我們想評(píng)估ZEBRA是否能夠被擊敗，以衡量它在面對(duì)一個(gè)積極試圖劫持用戶登錄會(huì)話的人時(shí)會(huì)有多安全。“我們發(fā)現(xiàn)，機(jī)會(huì)主義的攻擊者可以很容易地利用用戶。”

機(jī)會(huì)主義攻擊者可以選擇靠近受害者，看到或聽到受害者在做什么，并決定模仿什么互動(dòng)。例如，只使用鍵盤的攻擊者可以在受害者使用之前停止鍵入，并忽略用戶的鍵盤交互之外的所有內(nèi)容。

阿索坎說：“當(dāng)攻擊者用一個(gè)開放的會(huì)話訪問一臺(tái)計(jì)算機(jī)，并仔細(xì)選擇他在計(jì)算機(jī)上所做的事情時(shí)，ZEBRA無法將他注銷。“實(shí)際上，機(jī)會(huì)主義攻擊者在40%的時(shí)間里逃避偵查，只是在受害者認(rèn)為會(huì)成功的時(shí)候才模仿受害者。”

雖然容易受到機(jī)會(huì)主義對(duì)手的影響，但ZEBRA在防止無辜對(duì)手意外濫用方面仍然表現(xiàn)良好。

“對(duì)攻擊者所能做的建模是很困難的。我們指出，攻擊者的建模不充分會(huì)導(dǎo)致關(guān)于系統(tǒng)安全性的錯(cuò)誤結(jié)論，”阿索坎說。“有了一個(gè)現(xiàn)實(shí)的攻擊者模型，一個(gè)系統(tǒng)的缺點(diǎn)就會(huì)變得更加明顯，并且可以得到解決。”

阿爾托大學(xué)和UAB之間的這項(xiàng)聯(lián)合工作今天將在2016年圣地亞哥網(wǎng)絡(luò)和分布式系統(tǒng)安全研討會(huì)上介紹。

標(biāo)簽：系統(tǒng)