Исследователи в сфере безопасности протестировали первые прототипы системы безопасной аутентификации, которая, возможно, однажды заменит ввод PIN в банкоматах.
Исследователи в сфере безопасности протестировали первые прототипы системы безопасной аутентификации, которая, возможно, однажды заменит ввод PIN в банкоматах.
Система, получившая название Undercover, была совместно разработана сотрудником Carnegie Mellon University Н. Кристином и двумя выпускниками университета. Исследователи раскрыли детали программы в недавней публикации.
Основной задачей разработчиков было обойти факторы уязвимости ввода PIN, например, тот факт, что любой, обладающий острым зрением или парой скрытых камер, может запросто увидеть, на какие клавиши нажимает пользователь.
Чтобы справиться с подобными «подглядываниями», Undercover скрывает не ответ пользователя, а вопрос, на который он отвечает, или, по крайней мере, его часть.
В системе-прототипе, на которой остановился Кристин, используется трекбол с электроприводом и клавиатура с пятью клавишами с цветовой кодировкой. Пользователь помещает левую руку на трекбол, скрывая его.
Проверка пользователя заключается в выводе на экран набора из пяти изображений, одно из которых пользователь предоставил ранее – например, фотография домашнего любимца или снимок из отпуска. Пользователя просят найти собственное изображение или нажать на клавишу, сигнализирующую, что ни один из предложенных вариантов не подходит.
Трекбол вращается в определенном направлении, которое указывает значения, присваиваемые клавишам, закодированным цветом – то есть, теоретически, наблюдатель не сможет подглядеть. Пользователь затем вводит свой ответ с клавиатуры.
Преимущество данной системы в том, что она затрудняет подглядывание, утверждают исследователи.
Систему опробовали на 38 пользователях, используя как стандартную систему PIN, так и Undercover, причем камера записывала все шаги пользователя. Это позволило исследователям обнаружить все 38 PIN-кодов, даже с учетом того, что более острожные пользователи прикрывали клавиатуру одной рукой, с одной стороны.
С другой стороны, с помощью подглядывания удалось несколько раз взломать и систему Undercover, когда, например, пользователи случайно показывали движения трекбола.
При этом стиль аутентификации Undercover, несомненно, менее удобен в использовании – процедура подтверждения занимает минимум 25 секунд по сравнению с 3,2 секундами, требуемыми на ввод PIN.
В целом исследователи обнаружили, что система доказала свою практичность, при этом некоторые аспекты выглядят особенно перспективными для будущих систем аутентификации.
Свою работу исследователи представят в апреле на конференции Computer Human Interaction (CHI) во Флоренции, Италия.