Making Graphic-Based Authentication Secure against Smudge Attacks

Download Report

Transcript Making Graphic-Based Authentication Secure against Smudge Attacks 

Emanuel von Zezschwitz, Anton Koslow,
Alexander De Luca, Heinrich Hussmann
Antal Gábor


Mobil eszköz zárolása, használat előtt a
felhasználó azonosítása
Klasszikus megoldás: alfanumerikus jelszó
alapú azonosítás
◦ Pl.: rövid számsorozat (PIN)

Jellemző támadási mód jelszavas azonosítás
ellen: „shoulder surfing”
◦ A támadó ellesi a felhasználótól, hogy milyen
jelszót ad meg



Okostelefonok és tabletek érintőkijelzővel
rendelkeznek
Új authentikációs módszer: grafikus
authentikáció
Előnyei:
◦ Az ember motorikus, illetve képi memóriájára
alapoznak
◦ Sok módszer érintőképernyőn kényelmesebben
használható, mint a jelszavas védelem

Legismertebb példa: Android Pattern Lock



Grafikus authentikációs módszerek ellen új
támadási módszer alakult ki: „smudge attack”
A felhasználó az azonosítás során
ujjlenyomatot, nyomokat hagy az
érintőképernyőn, amelyből a támadó
visszafejtheti a „kódot”
Az Android Pattern Lock kifejezetten
sebezhetőnek bizonyult ezzel a
támadástípussal szemben



Biztonságosabb grafikus authentikációs
módszerek kidolgozása
„Smudge attack”-kal szemben való
sebezhetőség csökkentése
Új módszerek használhatóságának vizsgálata
különféle szempontok szerint

„Searchmetric” módszerek
◦ Véletlenszerűen válogatott képek halmazából adott
képek kiválasztása
◦ Vannak „shoulder surfing”-gel szemben
biztonságos módszerek
◦ Még nem elemezték „smudge attack” sebezhetőség
szempontjából
◦ Véletlenszerűség miatt feltételezhetően
biztonságos




Példa searchmetric módszerre: ImageShield
http://confidenttechnologies.com/products/confid
ent-imageshield/
A felhasználó képkategóriákat választ (pl.: macska,
autó, virág) jelszóként
Legközelebbi belépéskor random képek közül kell
a megfelelő kategóriákba eső képeket kiválasztani

„Locimetric” módszerek
◦ A felhasználó egy képen adott pozíciókat, régiókat
választ ki
◦ Ujjnyomok utalnak a kiválasztott régiókra
◦ „Smudge attack”-kal szemben sebezhetőek
◦ Kis kijelzőkön nehéz a megfelelő régiókat pontosan
kiválasztani



Példa locimetric módszerre: Passpoints
Pontok kiválasztása egy tetszőleges képen
Elfogadás adott sorrendben, adott
toleranciával

„Drawmetric” módszerek
◦ A felhasználónak egy adott alakzatot kell lerajzolnia
◦ Leggyakrabban használt grafikus authentikációs
módszercsalád mobilon
◦ Android Pattern Lock is ide tartozik
◦ Másik példa: Draw a Secret


Hogyan lehetne biztonságosabbá tenni a
drawmetric módszereket?
Az alakzat rajzolása közben extra jellemzők
megfigyelése (pl.: rajzolás sebessége, nyomás
mértéke)
◦ Ezeknek is egyezniük kell az azonosításkor az
alakzaton kívül

Extra feladat beiktatása az azonosítás után
◦ Pl. az alakzat lerajzolása után húzza végig az ujját a
képernyőn (WhisperCore)
◦ Általában ez a használhatóság rovására megy



Ilyen típusú támadáshoz a támadónak
birtokolnia kell a mobil eszközt
Speciális fényviszonyokat igényelhet
Biztonságosság vizsgálatakor legrosszabb
eset forgatókönyv
◦ A támadó a mobil eszköz birtokában van
◦ A támadónak megfelelő fényviszonyok és alkalmas
kamera áll rendelkezésre a támadáshoz
◦ Az azonosítás előtt a képernyő le lett törölve
◦ A felhasználó csak egyszer authentikál a támadás
előtt


Néhány új grafikus authentikációs módszerek
kifejlesztése, amelyek megnehezítik a
„smudge attack” kivitelezését
Az alábbi technikákat alkalmazzák
◦ A kód egyes elemeinek véletlenszerű elhelyezése
◦ Az azonosítás során hagyott ujjnyomok
elhomályosítása/elkenése még ugyanazon
azonosítási folyamaton belül
◦ Nézet véletlenszerű elforgatása

„Papír prototípusok”



Kilenc színes korong
véletlenszerű elhelyezése
egy kör mentén
Adott színű korongokat kell
a kör közepébe mozgatni
Egy szín többször is
szerepelhet



Kör mentén lévő pontokat
kell összekötni
Minden azonosításkor a kör
elforgatásra kerül
Mindig megjelölésre kerül a
négy fő égtáj az aktuális
orientáció megadásához



Tárcsázóhoz hasonló
működés
Számjegyeket kell adott
sorrendben a kör mentén
mozgatni az 1-es
számjegynél lévő nyíláson
át a kör közepébe
Ujjnyomok elhomályosítása




Android Pattern Lock
elforgatása
Orientáció jelzése az északi
irány megjelölésével
„Pattern 90”: 90°-onkénti
elforgatás lehetséges
„Pattern 360”: tetszőleges
szöggel való elforgatás
lehetséges

Megfigyelés során
◦ 5 módszer: Marbles, Compass, Dial, Pattern 90,
Pattern 360
◦ Jelszó kétféle lehet: előre definiált, felhasználó által
definiált

Adatgyűjtés
◦ Videofelvételek
◦ Kérdőívek a használhatóságról

Résztvevők
◦ 12 fő, átlagéletkor 22 év (19-26)
◦ 10 fő használ lock screen-t, 9 Android Pattern
Lock-ot



Tényleges szoftver prototípusok fejlesztése
Marbles nyert a pre-study fázisban, így ezt
tovább vizsgálták
Pattern 90-et is tovább vizsgálták
◦ Nézet elforgatás hatásának további vizsgálata
◦ Ez áll a legközelebb egy ténylegesen, élesben
használt módszerhez (Android Pattern Lock)


Baseline: Android Pattern Lock
+ Marble Gap



Adott színű korongok
mozgatása a középső szürke
területre
10 féle szín
Miután egy korong a szürke
területre került, nem
használható fel újra
◦ Minden szín max. kétszer
használható

Megfigyelések során

Adatgyűjtés

Részvevők:
◦ 4 féle módszer: Marbles, Marble Gap, Android pattern,
Pattern 90
◦ Jelszó kétféle lehet: előre definiált, felhasználó által
definiált
◦ Minden módszert minden jelszótípussal három körben
teszteltek
◦
◦
◦
◦
Naplózás az alkalmazásokban
Kérdőívek
Videofelvételek
Fénykép az érintőképernyőről az azonosítás után
◦ 24 fő, átlagéletkor 25 év (19-33)
◦ 23 fő használ okostelefont, 7 fő pattern lock-ot



Mobiltelefon: HTC Google Nexus One
Érintőképernyőről fénykép készítése egy
Canon EOS 1000D fényképezőgéppel
Az érintőképernyőt a fényképezéskor egy Arri
650W spotlámpával világították meg




A pre-study során kiderült, hogy a
leggyakrabban 5 hosszúságú jelszavakat
választottak a felhasználók
Ez lett a felső korlát minden módszer esetében a
felhasználó által definiált jelszavak hosszára
Marbles és Marble Gap esetében az előre definiált
jelszó max. 1 ismétlődő színt tartalmazott
Patterns esetében kétféle mintacsoport
◦ Szomszédos pontokat használó
◦ Nagyobb távolságra lévő pontokat használó

Lehetséges jelszavak száma
◦ Android pattern, Pattern 90: 10672
◦ Marbles: 59049
 Ismétlődő színek nélkül: 15120
◦ Marble Gap: 64800
 Ismétlődő színek nélkül: 30240
1.
2.
3.
4.
5.
6.
Authentikációs módszer tanítása a
felhasználónak
Érintőképernyő törlése mikroszálas
törlőkendővel
A felhasználó megadja a jelszót
Ha a megadott jelszó helyes, akkor
lefotózzák az érintőképernyőt. Ha helytelen,
akkor 2. lépés.
Ismétlés még kétszer
Kérdőív kitöltése a módszerről





Orientációs idő: Az authentikációs folyamat
kezdete és az első érintési esemény között
eltelt idő
Input idő: Az első érintési esemény és az
azonosítás vége között eltelt idő
Log fájlok elemzésével
Hiba volt a log fájlokban az első két
tesztkörnél, így csak a harmadikat vették
figyelembe
192 minta: 24 user * 2 féle jelszó * 4 féle
módszer


ANOVA használata az authentikációs
módszer és a jelszótípus hatásának
elemzésére
Orientációs idő
◦ Jelszótípusok esetén nincs szignifikáns eltérés
◦ Módszerek között szignifikáns eltérés

Input idő
◦ Szignifikáns eltérés a módszerek és a jelszótípusok
között is



A kérdőívek elemzésekor más eredményt
kaptak
Android pattern „nagyon gyors”, Marbles és
Marble Gap „gyors”, Pattern 90 „elégséges”
Következtetés: a felhasználóknak a hosszabb
orientációs idő feltűnőbb, mint a hosszabb
input idő



Hibás azonosítások számának megfigyelése
Egyszerű hiba: a felhasználó az azonosítás
során egyszer vagy kétszer hibázik
Kritikus hiba: a felhasználó legalább
háromszor hibázik
◦ Ilyenkor pl. egy ATM már zárolná a kártyáját




55 hibás azonosítás (9,5%)
Ebből csak 1 kritikus hiba
Szignifikáns eltérés a módszerek és a
jelszótípusok között
Tesztkörök között nincs szignifikáns eltérés




Kérdőívek segítségével elemezték
Memorizálhatóság és használhatóság
szétválasztása
Memorizálhatóság jobb a felhasználó által
definiált jelszavak esetében
Pattern 90 mindkettő szempontból a
legrosszabbul teljesít
◦ A felhasználók szerint kiemelkedően magas
koncentrációt igényel
◦ A hibák többségét az okozta, hogy a megfelelő
alakzatot rajzolták, de nem a megfelelő
orientációval




Az érintőképernyőkről készített fotókat egy biztonsági
szakember vizsgálta meg
Minden fotónál legfeljebb háromszor tippelhette meg a
kódot
A képeket csak forgathatta és zoomolhatta
Android pattern esetében találta ki a szakember a legtöbb
jelszót (83%)
◦ A nyomokból könnyen kitalálhatók az aktivált pontok és az irány



Pattern 90 esetében 46% volt a találati arány
◦ A nyomokból három tippelési lehetőség esetén 75%-os eséllyel
visszafejthető a kód
Marbles, Marble Gap: 0%-os találati arány
A kérdőívek eredményei szerint a felhasználók szerint is
hasonló a sorrend biztonságosság szempontjából


Egy adott felhasználó szívesen használná-e
élesben az adott authentikációs módszert
Sorrend:
◦
◦
◦
◦
Android pattern (92%, 22 user)
Marbles (75%, 18 user)
Marble gap (67%, 16 user)
Pattern 90 (42%, 10 user)




Grafikus authentikációs módszerek, amelyek
biztonságosabbak a „smudge attack”-kal
szemben, mint az Android Pattern Lock
Általában a nézet elforgatása magas orientációs
időt okoz, emiatt nehezen használható (Pattern
90)
A felhasználó által definiált jelszó alapján történő
azonosítás kisebb input időt igényelt, mint az
előre megadott jelszó esetén
A véletlenszerű elhelyezésen alapuló módszerek
(Marbles, Marble Gap) biztonságosak voltak, és
elég jól használhatónak bizonyultak