Emanuel von Zezschwitz, Anton Koslow, Alexander De Luca, Heinrich Hussmann Antal Gábor
Mobil eszköz zárolása, használat előtt a felhasználó azonosítása Klasszikus megoldás: alfanumerikus jelszó alapú azonosítás ◦ Pl.: rövid számsorozat (PIN) Jellemző támadási mód jelszavas azonosítás ellen: „shoulder surfing” ◦ A támadó ellesi a felhasználótól, hogy milyen jelszót ad meg
Okostelefonok és tabletek érintőkijelzővel rendelkeznek Új authentikációs módszer: grafikus authentikáció Előnyei: ◦ Az ember motorikus, illetve képi memóriájára alapoznak ◦ Sok módszer érintőképernyőn kényelmesebben használható, mint a jelszavas védelem
Legismertebb példa: Android Pattern Lock
Grafikus authentikációs módszerek ellen új támadási módszer alakult ki: „smudge attack” A felhasználó az azonosítás során ujjlenyomatot, nyomokat hagy az érintőképernyőn, amelyből a támadó visszafejtheti a „kódot” Az Android Pattern Lock kifejezetten sebezhetőnek bizonyult ezzel a támadástípussal szemben
Biztonságosabb grafikus authentikációs módszerek kidolgozása „Smudge attack”-kal szemben való sebezhetőség csökkentése Új módszerek használhatóságának vizsgálata különféle szempontok szerint
„Searchmetric” módszerek ◦ Véletlenszerűen válogatott képek halmazából adott képek kiválasztása ◦ Vannak „shoulder surfing”-gel szemben biztonságos módszerek ◦ Még nem elemezték „smudge attack” sebezhetőség szempontjából ◦ Véletlenszerűség miatt feltételezhetően biztonságos
Példa searchmetric módszerre: ImageShield ent-imageshield/ ent-imageshield/ A felhasználó képkategóriákat választ (pl.: macska, autó, virág) jelszóként Legközelebbi belépéskor random képek közül kell a megfelelő kategóriákba eső képeket kiválasztani
„Locimetric” módszerek ◦ A felhasználó egy képen adott pozíciókat, régiókat választ ki ◦ Ujjnyomok utalnak a kiválasztott régiókra ◦ „Smudge attack”-kal szemben sebezhetőek ◦ Kis kijelzőkön nehéz a megfelelő régiókat pontosan kiválasztani
Példa locimetric módszerre: Passpoints Pontok kiválasztása egy tetszőleges képen Elfogadás adott sorrendben, adott toleranciával
„Drawmetric” módszerek ◦ A felhasználónak egy adott alakzatot kell lerajzolnia ◦ Leggyakrabban használt grafikus authentikációs módszercsalád mobilon ◦ Android Pattern Lock is ide tartozik ◦ Másik példa: Draw a Secret
Hogyan lehetne biztonságosabbá tenni a drawmetric módszereket? Az alakzat rajzolása közben extra jellemzők megfigyelése (pl.: rajzolás sebessége, nyomás mértéke) ◦ Ezeknek is egyezniük kell az azonosításkor az alakzaton kívül Extra feladat beiktatása az azonosítás után ◦ Pl. az alakzat lerajzolása után húzza végig az ujját a képernyőn (WhisperCore) ◦ Általában ez a használhatóság rovására megy
Ilyen típusú támadáshoz a támadónak birtokolnia kell a mobil eszközt Speciális fényviszonyokat igényelhet Biztonságosság vizsgálatakor legrosszabb eset forgatókönyv ◦ A támadó a mobil eszköz birtokában van ◦ A támadónak megfelelő fényviszonyok és alkalmas kamera áll rendelkezésre a támadáshoz ◦ Az azonosítás előtt a képernyő le lett törölve ◦ A felhasználó csak egyszer authentikál a támadás előtt
Néhány új grafikus authentikációs módszerek kifejlesztése, amelyek megnehezítik a „smudge attack” kivitelezését Az alábbi technikákat alkalmazzák ◦ A kód egyes elemeinek véletlenszerű elhelyezése ◦ Az azonosítás során hagyott ujjnyomok elhomályosítása/elkenése még ugyanazon azonosítási folyamaton belül ◦ Nézet véletlenszerű elforgatása „Papír prototípusok”
Kilenc színes korong véletlenszerű elhelyezése egy kör mentén Adott színű korongokat kell a kör közepébe mozgatni Egy szín többször is szerepelhet
Kör mentén lévő pontokat kell összekötni Minden azonosításkor a kör elforgatásra kerül Mindig megjelölésre kerül a négy fő égtáj az aktuális orientáció megadásához
Tárcsázóhoz hasonló működés Számjegyeket kell adott sorrendben a kör mentén mozgatni az 1-es számjegynél lévő nyíláson át a kör közepébe Ujjnyomok elhomályosítása
Android Pattern Lock elforgatása Orientáció jelzése az északi irány megjelölésével „Pattern 90”: 90°-onkénti elforgatás lehetséges „Pattern 360”: tetszőleges szöggel való elforgatás lehetséges
Megfigyelés során ◦ 5 módszer: Marbles, Compass, Dial, Pattern 90, Pattern 360 ◦ Jelszó kétféle lehet: előre definiált, felhasználó által definiált Adatgyűjtés ◦ Videofelvételek ◦ Kérdőívek a használhatóságról Résztvevők ◦ 12 fő, átlagéletkor 22 év (19-26) ◦ 10 fő használ lock screen-t, 9 Android Pattern Lock-ot
Tényleges szoftver prototípusok fejlesztése Marbles nyert a pre-study fázisban, így ezt tovább vizsgálták Pattern 90-et is tovább vizsgálták ◦ Nézet elforgatás hatásának további vizsgálata ◦ Ez áll a legközelebb egy ténylegesen, élesben használt módszerhez (Android Pattern Lock) Baseline: Android Pattern Lock + Marble Gap
Adott színű korongok mozgatása a középső szürke területre 10 féle szín Miután egy korong a szürke területre került, nem használható fel újra ◦ Minden szín max. kétszer használható
Megfigyelések során ◦ 4 féle módszer: Marbles, Marble Gap, Android pattern, Pattern 90 ◦ Jelszó kétféle lehet: előre definiált, felhasználó által definiált ◦ Minden módszert minden jelszótípussal három körben teszteltek Adatgyűjtés ◦ Naplózás az alkalmazásokban ◦ Kérdőívek ◦ Videofelvételek ◦ Fénykép az érintőképernyőről az azonosítás után Részvevők: ◦ 24 fő, átlagéletkor 25 év (19-33) ◦ 23 fő használ okostelefont, 7 fő pattern lock-ot
Mobiltelefon: HTC Google Nexus One Érintőképernyőről fénykép készítése egy Canon EOS 1000D fényképezőgéppel Az érintőképernyőt a fényképezéskor egy Arri 650W spotlámpával világították meg
A pre-study során kiderült, hogy a leggyakrabban 5 hosszúságú jelszavakat választottak a felhasználók Ez lett a felső korlát minden módszer esetében a felhasználó által definiált jelszavak hosszára Marbles és Marble Gap esetében az előre definiált jelszó max. 1 ismétlődő színt tartalmazott Patterns esetében kétféle mintacsoport ◦ Szomszédos pontokat használó ◦ Nagyobb távolságra lévő pontokat használó
Lehetséges jelszavak száma ◦ Android pattern, Pattern 90: ◦ Marbles: Ismétlődő színek nélkül: ◦ Marble Gap: Ismétlődő színek nélkül: 30240
1. Authentikációs módszer tanítása a felhasználónak 2. Érintőképernyő törlése mikroszálas törlőkendővel 3. A felhasználó megadja a jelszót 4. Ha a megadott jelszó helyes, akkor lefotózzák az érintőképernyőt. Ha helytelen, akkor 2. lépés. 5. Ismétlés még kétszer 6. Kérdőív kitöltése a módszerről
Orientációs idő: Az authentikációs folyamat kezdete és az első érintési esemény között eltelt idő Input idő: Az első érintési esemény és az azonosítás vége között eltelt idő Log fájlok elemzésével Hiba volt a log fájlokban az első két tesztkörnél, így csak a harmadikat vették figyelembe 192 minta: 24 user * 2 féle jelszó * 4 féle módszer
ANOVA használata az authentikációs módszer és a jelszótípus hatásának elemzésére Orientációs idő ◦ Jelszótípusok esetén nincs szignifikáns eltérés ◦ Módszerek között szignifikáns eltérés Input idő ◦ Szignifikáns eltérés a módszerek és a jelszótípusok között is
A kérdőívek elemzésekor más eredményt kaptak Android pattern „nagyon gyors”, Marbles és Marble Gap „gyors”, Pattern 90 „elégséges” Következtetés: a felhasználóknak a hosszabb orientációs idő feltűnőbb, mint a hosszabb input idő
Hibás azonosítások számának megfigyelése Egyszerű hiba: a felhasználó az azonosítás során egyszer vagy kétszer hibázik Kritikus hiba: a felhasználó legalább háromszor hibázik ◦ Ilyenkor pl. egy ATM már zárolná a kártyáját 55 hibás azonosítás (9,5%) Ebből csak 1 kritikus hiba Szignifikáns eltérés a módszerek és a jelszótípusok között Tesztkörök között nincs szignifikáns eltérés
Kérdőívek segítségével elemezték Memorizálhatóság és használhatóság szétválasztása Memorizálhatóság jobb a felhasználó által definiált jelszavak esetében Pattern 90 mindkettő szempontból a legrosszabbul teljesít ◦ A felhasználók szerint kiemelkedően magas koncentrációt igényel ◦ A hibák többségét az okozta, hogy a megfelelő alakzatot rajzolták, de nem a megfelelő orientációval
Az érintőképernyőkről készített fotókat egy biztonsági szakember vizsgálta meg Minden fotónál legfeljebb háromszor tippelhette meg a kódot A képeket csak forgathatta és zoomolhatta Android pattern esetében találta ki a szakember a legtöbb jelszót (83%) ◦ A nyomokból könnyen kitalálhatók az aktivált pontok és az irány Pattern 90 esetében 46% volt a találati arány ◦ A nyomokból három tippelési lehetőség esetén 75%-os eséllyel visszafejthető a kód Marbles, Marble Gap: 0%-os találati arány A kérdőívek eredményei szerint a felhasználók szerint is hasonló a sorrend biztonságosság szempontjából
Egy adott felhasználó szívesen használná-e élesben az adott authentikációs módszert Sorrend: ◦ Android pattern (92%, 22 user) ◦ Marbles (75%, 18 user) ◦ Marble gap (67%, 16 user) ◦ Pattern 90 (42%, 10 user)
Grafikus authentikációs módszerek, amelyek biztonságosabbak a „smudge attack”-kal szemben, mint az Android Pattern Lock Általában a nézet elforgatása magas orientációs időt okoz, emiatt nehezen használható (Pattern 90) A felhasználó által definiált jelszó alapján történő azonosítás kisebb input időt igényelt, mint az előre megadott jelszó esetén A véletlenszerű elhelyezésen alapuló módszerek (Marbles, Marble Gap) biztonságosak voltak, és elég jól használhatónak bizonyultak