Репортер The Register ознакомился с недавно опубликованным интересным докладом, который исследователи из Международного университета Флориды и компании Bloomberg представили на конференции ACM IMWUT. Авторы нового исследования предлагают в качестве токена аутентификации использовать сохраненный на телефоне снимок какого-либо предмета личного обихода — броши, связки ключей, ботинка, пачки сигарет.

Способ удостоверения личности, разработанный в рамках проекта Pixie, позиционируется как более простая и удобная альтернатива текстовым сообщениям с кодом и физическим ключам, которые ныне используются в системах двухфакторной аутентификации. К тому же SMS могут перехватить злоумышленники, воспользовавшись несовершенством протокола SS7, да и на надежность криптоключей, как показала практика, далеко не всегда можно полагаться.

«Pixie дополняет существующие решения аутентификации, предоставляя альтернативный способ, который всегда под рукой и не раскрывает при этом конфиденциальную информацию пользователя», — цитирует The Register авторов проекта.

По системе Pixie пользователь просто делает снимок с помощью встроенной в смартфон камеры, который затем используется как эталон для удостоверения личности. Этот подход сродни технологии двумерных штрихкодов (QR), только требует соблюдения строгой секретности. Обработка графического изображения производится локально, поэтому такой токен не зависит от состояния сети и не уязвим к сетевым атакам.

Для подтверждения личности можно представить лишь часть контрольного предмета: Pixie, по утверждению разработчиков, распознает и отдельные детали — покрой рубашки или мысок ботинка. «Pixie с высокой точностью устанавливает, что на картинке представлена часть той безделицы, которая была в разных ракурсах отснята ранее, — пишут исследователи. — Этот процесс также обеспечивает Pixie устойчивость к атакам: чтобы пройти аутентификацию вместо пользователя, злоумышленнику придется завладеть и мобильным устройством, и контрольным предметом, а затем угадать, какую его часть нужно использовать как токен».

Технология Pixie была реализована на Android 3.2 с использованием библиотеки алгоритмов компьютерного зрения OpenCV 2.4.10 и библиотеки алгоритмов машинного обучения Weka. В качестве контрольных предметов использовались наручные часы, пачки жевательной резинки, связки ключей, солнцезащитные очки, ботинок, татуировка и даже — куда уж проще — меню iPhone.

Тестирование Pixie на брутфорс показало менее 0,09 % ложноположительных срабатываний; при этом было совершено более 14,3 млн попыток аутентификации с перебором 40 тыс. изображений из открытых источников. Новый способ также хорошо приняли сами пользователи: половина участников контрольной группы из 42 человек заявили, что Pixie им нравится больше парольной защиты.

Категории: Кибероборона