2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
來(lái)自伯明翰阿拉巴馬大學(xué)和阿爾托大學(xué)的研究人員在最近提出的計(jì)算機(jī)用戶驗(yàn)證安全系統(tǒng)中發(fā)現(xiàn)了漏洞。
這一新的安全系統(tǒng)是由達(dá)特茅斯學(xué)院的研究人員開發(fā)的,是為了響應(yīng)對(duì)易于使用的系統(tǒng)的需求而創(chuàng)建的,這些系統(tǒng)決定了某人是否實(shí)際上是他或她正在聲明的人-一個(gè)被稱為身份驗(yàn)證的過(guò)程。
“在我們這個(gè)以技術(shù)為基礎(chǔ)的社會(huì)里,我們需要一個(gè)密碼來(lái)做每一件事——從銀行到交流。”D.,新興計(jì)算和網(wǎng)絡(luò)系統(tǒng)安全和隱私實(shí)驗(yàn)室主任,UAB藝術(shù)和科學(xué)學(xué)院計(jì)算機(jī)和信息科學(xué)副教授。“由于人們往往難以記住不同平臺(tái)的所有不同密碼,因此識(shí)別簡(jiǎn)單但安全的登錄和注銷方法有很多價(jià)值。”
在涉及病人機(jī)密信息的醫(yī)院等多用戶組織中,防止一個(gè)人使用他人的登錄會(huì)話,甚至意外,這一點(diǎn)尤為關(guān)鍵。
Saxena說(shuō):“安全界在實(shí)現(xiàn)正確的認(rèn)證系統(tǒng)方面取得了進(jìn)展。“但設(shè)計(jì)一款既方便用戶又安全的手機(jī)絕非易事。”
來(lái)自達(dá)特茅斯學(xué)院的研究人員試圖解決這個(gè)問(wèn)題,并通過(guò)ZEBRA的開發(fā)或零努力雙邊循環(huán)認(rèn)證來(lái)創(chuàng)建安全、用戶友好的認(rèn)證。零努力認(rèn)證系統(tǒng),如ZEBRA,將用戶排除在等式之外,這樣就不需要任何用戶的努力來(lái)確保安全會(huì)話。
新系統(tǒng)的設(shè)計(jì)是為了解決去認(rèn)證的潛在安全問(wèn)題,理想情況下,用戶的設(shè)備在退出會(huì)話后立即注銷或鎖定自己。ZEBRA提供了一種零功耗的去認(rèn)證方法,通過(guò)比較用戶在設(shè)備(如計(jì)算機(jī)終端)上所做的事情和手腕佩戴的手鐲的測(cè)量結(jié)果,不斷地認(rèn)證登錄用戶。
“現(xiàn)在,這個(gè)裝置對(duì)同一現(xiàn)象有兩種不同的雙邊看法:第一種是直接相互作用的順序,第二種是從測(cè)量中推斷出的預(yù)測(cè)相互作用的順序,”阿爾托大學(xué)計(jì)算機(jī)科學(xué)系教授N.Asokan說(shuō)。“如果這兩個(gè)序列匹配,ZEBRA可以得出結(jié)論,與之交互的人是在當(dāng)前登錄會(huì)話中佩戴正確手鐲的同一個(gè)人。相反,如果序列發(fā)散,則ZEBRA可以迅速自動(dòng)地對(duì)當(dāng)前登錄會(huì)話進(jìn)行去認(rèn)證。
由國(guó)家科學(xué)基金會(huì)和芬蘭學(xué)院資助的UAB和Aalto大學(xué)研究表明,雖然ZEBRA是一個(gè)旨在實(shí)現(xiàn)及時(shí)和方便用戶的身份驗(yàn)證的系統(tǒng),與誠(chéng)實(shí)的人合作非常好,但機(jī)會(huì)主義的攻擊者可以愚弄系統(tǒng),Asokan解釋說(shuō)。
在這項(xiàng)研究中,20名測(cè)試參與者扮演了受害者的角色,而研究人員則扮演了攻擊者的角色。襲擊者模仿受害者在他們的裝置上所做的事情。
Saxena說(shuō):“我們想評(píng)估ZEBRA是否能夠被擊敗,以衡量它在面對(duì)一個(gè)積極試圖劫持用戶登錄會(huì)話的人時(shí)會(huì)有多安全。“我們發(fā)現(xiàn),機(jī)會(huì)主義的攻擊者可以很容易地利用用戶。”
機(jī)會(huì)主義攻擊者可以選擇靠近受害者,看到或聽(tīng)到受害者在做什么,并決定模仿什么互動(dòng)。例如,只使用鍵盤的攻擊者可以在受害者使用之前停止鍵入,并忽略用戶的鍵盤交互之外的所有內(nèi)容。
阿索坎說(shuō):“當(dāng)攻擊者用一個(gè)開放的會(huì)話訪問(wèn)一臺(tái)計(jì)算機(jī),并仔細(xì)選擇他在計(jì)算機(jī)上所做的事情時(shí),ZEBRA無(wú)法將他注銷。“實(shí)際上,機(jī)會(huì)主義攻擊者在40%的時(shí)間里逃避偵查,只是在受害者認(rèn)為會(huì)成功的時(shí)候才模仿受害者。”
雖然容易受到機(jī)會(huì)主義對(duì)手的影響,但ZEBRA在防止無(wú)辜對(duì)手意外濫用方面仍然表現(xiàn)良好。
“對(duì)攻擊者所能做的建模是很困難的。我們指出,攻擊者的建模不充分會(huì)導(dǎo)致關(guān)于系統(tǒng)安全性的錯(cuò)誤結(jié)論,”阿索坎說(shuō)。“有了一個(gè)現(xiàn)實(shí)的攻擊者模型,一個(gè)系統(tǒng)的缺點(diǎn)就會(huì)變得更加明顯,并且可以得到解決。”
阿爾托大學(xué)和UAB之間的這項(xiàng)聯(lián)合工作今天將在2016年圣地亞哥網(wǎng)絡(luò)和分布式系統(tǒng)安全研討會(huì)上介紹。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。