🩲 Атаки по жирових слідах: методи захисту

Посилання на першу частину: “Сутність і алгоритми“.

Отже, якщо в процесі аутентифікації користувачі, торкаючись до контактної поверхні, залишають на ній жирові сліди від пальців, то потім за цими слідами зловмисник може реконструювати введені чутливі дані (паролі, PIN-коди, графічні ключі). Як від цього захиститися?

  •  На рівні механізму аутентифікації:

– Введення ключової комбінації без торкання пальцями контактної поверхні
– Багатоетапна або багатофакторна аутентифікація
– Альтернативний спосіб аутентифікації – наприклад, біометрична

  • На рівні вибору комбінації, що вводиться (пароль, код або ключ) – стандартні рекомендації:

– Надійність і достатня довжина – не менше 8 символів для пароля
– Регулярна зміна комбінації
– Відмова від слів, що часто зустрічаються, або слів, які легко асоціюються з вами
– Різні ключові комбінації для різних систем
– Асиметричний графічний ключ (симетричний легше зламати словниковою атакою)

  • На рівні матеріалів:

– Захисний екран з амфіфобного матеріалу, що відштовхує жир і воду (наприклад, можете розглянути продукцію Tech Armor або ZAGG)
– Олеофобне покриття контактної поверхні

  • На програмному рівні:

– Довільна трансформація ключової комбінації (наприклад, масштабування і повороти)
– Рандомізація або довільне зміщення початкової точки патерну – наприклад, за допомогою графічного елемента: користувач не веде пальцем по екрану, а вибирає “правильне” зображення або колір кілька разів (аналогічно технології CAPTCHA)
– Множинний дотик (рішення на основі технології TFST – Touch with Fingers Straight and Together)
– Додатковий “прихований” фактор аутентифікації: інтенсивність натискання, швидкість введення та інші
– Додатковий “маскувальний” етап аутентифікації: “затирання” слідів від введення ключової послідовності входить до послідовності обов’язкових дій під час аутентифікації

Варіанти технічних рішень, що втілюють вищеописані методи в тих чи інших поєднаннях: SmudgeSafe, TinyLock, ClickPattern, WhisperCore, PassPoints (і Cued Click-Points), PassFaces, MIBA (від Multi-touch Image-Based Authentication) та інші.

Наостанок варто згадати фактор чистоти контактної поверхні:

  1. Очевидно, що сліди на попередньо очищеній поверхні – справжній подарунок для зловмисника: усе буквально як на долоні;
  2. “Стирання” слідів ключової комбінації після введення в дусі “і так зійде!” (хоч і рукавом) не має значущого впливу на розпізнавання;
  3. Навіть якщо поверхня “зашумлена” попередніми дотиками, що не несуть корисної інформації про ключову комбінацію, це знижує ймовірність успіху під час атаки всього на 20% (приблизно з 93 до 72%).

Проте, якщо ви не любитель протирати екран смартфона, тепер у вас є додатковий аргумент на захист своєї позиції.

Додати коментар