Как стать автором
Обновить

В Швейцарии придумали двухфакторную аутентификацию с использованием фонового шума

Время на прочтение3 мин
Количество просмотров8.7K


Команда специалистов по компьютерной безопасности из Швейцарской высшей технической школы Цюриха придумали новый метод двухфакторной аутентификации пользователя, не требующий от последнего каких-либо действий. Метод, получивший название Sound-Proof, основан на записи и сравнении фонового шума в помещении, где находится пользователь.

Двухфакторная аутентификация — распространённый и действенный приём повышения безопасности пользователя. Если при однофакторной аутентификации достаточно знать лишь логин и пароль пользователя, чтобы войти в его аккаунт в любом веб-сервисе, то двухфакторная использует дополнительный канал связи с пользователем, чтобы убедиться, что его паролем не завладел злоумышленник.

Чаще всего в качестве второго канала выступает SMS-сообщение с одноразовым секретным кодом. В результате, если злоумышленник захочет выдать себя за другого, ему придётся не только завладеть обычным паролем, но и получить доступ к телефону жертвы (физически, или с помощью каких-либо троянских программ).

Но у всего есть как плюсы, так и минусы. Минусом такого подхода служит необходимость дополнительных телодвижений для пользователя. Нужно разблокировать телефон, прочесть SMS, и правильно ввести в форму браузера полученный код, удалить сообщение из телефона. Повышенная безопасность, как это часто бывает, обеспечивается за счёт неудобств.

Как известно, прогрессом двигает лень — поэтому швейцарцы придумали способ, как избавить пользователя от лишних хлопот. Для этого ему потребуется просто один раз установить на смартфон нужное приложение, и иметь в своём компьютере микрофон (в лэптопы он обычно встроен).

При попытке входа на ресурс, поддерживающий этот метод аутентификации, ресурс отсылает приложению команду, и оно в течение трёх секунд записывает фоновый шум в том месте, где оказался пользователь. То же самое делает и микрофон компьютера. Затем шумы сверяются. Если серверная программа подтверждает идентичность записей, то пользователь успешно входит в свою учётную запись.

И тут, конечно, есть свои трудности. Например, микрофоны в смартфоне и компьютере могут сильно отличаться по качеству. В настольном компьютере может вовсе не оказаться микрофона. Злоумышленник может провернуть вход в чужой аккаунт, находясь в том же помещении, что и пользователь (особенно это актуально для перехвата данных по wi-fi в кафе). Или же он может включить ту же радиостанцию или телеканал, что и пользователь.

Кроме того, повышается нагрузка на сервер, и понижается приватность пользователя — хотя разработчики утверждают, что запись происходит всего 3 секунды, а на сервер отправляется не аудиофайл, а созданная на его основе цифровая подпись. Но кто же это проверит?

На ум приходит упрощение такой технологии. Что, если приложению не нужно будет записывать шум и строить из него по сложным алгоритмам цифровую подпись? Ведь вместо этого оно может получить с сервера набор цифр и передать их в виде аудиосигналов при помощи своего динамика на микрофон компьютера, который расшифрует сигнал, и сравнит эти цифры с сервером — то есть, организовать нечто вроде примитивного модема.
Теги:
Хабы:
Если эта публикация вас вдохновила и вы хотите поддержать автора — не стесняйтесь нажать на кнопку
Всего голосов 14: ↑12 и ↓2+10
Комментарии15

Публикации

Истории

Ближайшие события