L'analisi comportamentale (ad es. dinamica dei tasti) è un affidabile meccanismo di sicurezza per l'MFA?

Naviga le tue risposte
9

L'insieme tipico di categorie a più fattori è il seguente:

  • Qualcosa che conosci (ad esempio una password)
  • Qualcosa che hai (ad esempio un token hardware o un file chiave)
  • Qualcosa che sei (ad esempio un'impronta digitale o una scansione retinica)

Direi che esiste una quarta categoria: un comportamento che esponi (o "qualcosa che fai", per dirla semplicemente). Questa potrebbe essere la tua andatura (postura a piedi), la tua calligrafia o il modo in cui digiti su una tastiera. Spesso è un'estensione della tua forma fisica (per esempio la muscolatura) che produce questi comportamenti, ma sono anche influenzati dalla psicologia e spesso non sono fissi come un attributo fisico come un'impronta digitale.

Sono interessato a come l'analisi comportamentale può essere utilizzata come quarto fattore di autenticazione. Ho lavorato sulla profilatura delle dinamiche dei tasti prima, utilizzando i tempi delle coppie di lettere (ad esempio il tempo medio tra la pressione di "q" e "u") e varie altre metriche come metodo per autenticare una persona. I miei risultati erano abbastanza buoni; il profilo che ho creato mi ha autenticato e negato l'accesso a diverse altre persone che hanno tentato di accedere, anche se i miei test non erano particolarmente scientifici o approfonditi.

Tuttavia, non sono sicuro di quanto tali metriche siano sicure su una scala più ampia. Esistono meccanismi collaudati con margini e difetti di sicurezza noti? Ci sono metriche particolari che funzionano meglio di altre? Sono state condotte ricerche approfondite su questo tipo di fattore di autenticazione? Sarei certamente interessato a vedere eventuali documenti facilmente digeribili in merito.

    
posta Polynomial 05.12.2012 - 11:01
fonte

6 risposte

5

Questo è già stato fatto da numerosi fornitori ( fai clic qui ), e i brevetti sono stati su tecnologie simili a dinamiche di battitura che risalgono fino al 1986 ( fai clic qui o qui ).

Ecco un documento che si occupa di utilizzare la dinamica dei tasti come autenticazione biometrica, ma io sono non sono sicuro di quanto "digeribile" sia per il laico.

Sarebbe difficile implementare tutto questo perché, sebbene le dinamiche relative alla battitura di una persona siano spesso simili nella vita di tutti i giorni, è necessario essere in grado di spiegare le variazioni significative. Se una persona è malata o stanca non scriverà la stessa come se fosse arrabbiata.

Anche se non penso che questa tecnologia sia pronta per il prime time, penso che sia bello discutere e investigare su diversi tipi di autenticazione biometrica e profili individuali per rafforzare la tua postura di sicurezza.

    
risposta data 05.12.2012 - 18:48
fonte
3

Il secondo link AviD ha inserito nei diagrammi dei commenti il suo concetto così: 

|User's machine|--|Events Acquisition|--|Feature Extraction|--|Classifier|--|Auth. DB|

Per fare questo lavoro è necessario prendere in considerazione diverse cose:

  1. Tablet, telefoni e altri dispositivi mobili avranno dinamiche utente MOLTO diverse rispetto a tastiera / mouse. Qualsiasi sistema di questo tipo destinato all'uso accanto all'autenticazione delle credenziali dovrebbe tenere conto di ciò. (Il documento collegato osserva anche nella sezione di chiusura che la varietà di configurazioni nei topi da sola presenterebbe delle difficoltà.)

  2. Il canale di autenticazione della dinamica dovrebbe essere protetto in qualche modo. Non sarebbe necessariamente banale per MITM questo, ma non è certamente impossibile.

  3. Come altri hanno pubblicato, qualsiasi forma di autenticazione "impronta cognitiva" può essere utilizzata solo come supporto per altre forme di autenticazione. Non può avere lo stesso peso di qualcosa che si ha o qualcosa che si conosce. Altrimenti si corre il rischio di bloccare un utente malato / emotivo / stanco. (Di solito va bene per le applicazioni militari, ma per uso pubblico in generale è una decisione sbagliata.)

Bruce Schneier ha pubblicato su questo all'inizio di quest'anno, in realtà. C'è qualche buona discussione nei commenti lì, anche se nulla di definitivo.

TL; DR: l'analisi comportamentale non può attualmente avere lo stesso peso con altri fattori in MFA. L'utilizzo come fattore di supporto è possibile all'incirca allo stesso livello della biometria.

    
risposta data 05.12.2012 - 15:30
fonte
2

Le dinamiche comportamentali sono alla pari con analisi delle firme / falsificazione per sicurezza. Il che vuol dire che un aggressore occasionale probabilmente non impersona te, ma come hai detto, non è qualcosa che sei , è qualcosa che tu < strong> fare . È abitudine piuttosto che funzioni.

Naturalmente, le tendenze comportamentali sono piuttosto istintive e difficili da modificare a volontà, ma nonostante ciò qualsiasi comportamento può essere acquisito con una pratica sufficiente. Allo stesso modo in cui la sicurezza della firma scritta si basa sul presupposto che nessuno praticherà a sufficienza la firma, la sicurezza di qualsiasi altra impronta digitale comportamentale si basa sul presupposto che nessuno si addestrerà a impersonare i propri comportamenti.

Quindi è probabilmente OK per la sicurezza casuale, ma qualsiasi cosa di alto valore dove è probabile un attacco concertato reale; è un po 'più incerto. Alcuni comportamenti sono probabilmente molto più difficili da impersonare di altri, ma alla fine non avrai mai proof della sicurezza di tale sistema e la tua fiducia in tale sistema dovrebbe essere adeguatamente riservata.

    
risposta data 05.12.2012 - 22:45
fonte
1

Potrebbe essere, ma personalmente non ho visto nessun dato per supportarlo. Il mio istinto è che potrebbe essere un utile fattore aggiuntivo, ma non lo userei come fattore principale per l'autenticazione. Come per la maggior parte dei dati biometrici, è necessario capire come si definisce, si imposta e si calcola la soglia di crossover (dove convergono falsi positivi e falsi negativi). Questo è un

    
risposta data 05.12.2012 - 12:31
fonte
0

È certamente un pensiero interessante, tuttavia non ci sono ricerche che posso trovare per sostenerlo. Il mio istinto mi dice che non sarebbe affidabile, che i cambiamenti di condizioni, le diverse tastiere, il soggetto stesso aggiungerebbero molti falsi negativi e aspetti positivi. Pensa che intossicazione, malattia o semplice affaticamento potrebbero causare i tuoi schemi di battitura! La mia impronta digitale non cambia quando sono a corto di sonno.

Inoltre, quanto dovresti digitare per stabilire un pattern?

    
risposta data 05.12.2012 - 12:40
fonte
0

Sì, c'è un altro fattore da considerare come "Qualcosa che fai" che include il tuo modello di scrittura a mano, la velocità di scrittura ecc. che ho trovato nel libro Sicurezza del computer: Arte e amp; Scienza di Mat Bishop .

    
risposta data 21.04.2018 - 12:56
fonte

Leggi altre domande sui tag

Quanto sono sicuri i file password utilizzati da Password Safe e Password Gorilla? Sfruttare PHP tramite i parametri GET