本文讲的是 用噪音作口令 解决双因子认证痛点,去年,据说是从各路名人苹果iCloud账户窃取来的裸照开始在各大社交媒体上疯传时,苹果公司在对该事件的回应中,鼓励人们启用所谓的“双因子身份验证”功能。想法其实很简单——当你试图登录到iCloud账户时,苹果会向你的手机发送一个四位数的验证码,你必须输入这个验证码才能进行登录。那样的话,即便有人获得了你的账户密码,也无法登录,除非他们同时拿到了你的手机,才能够进入你的iCloud的账户。
双重身份验证比单独的口令提供了更好的安全机制,我们的邮箱、社交媒体、银行账户等等方方面面都应该启用这种双重身份验证。不过这样确实有一个很大的问题,那就是启用了双重身份验证后,真的是太麻烦了。每次我们想要登录一个网站,就得掏出手机,然后解锁,找到验证码,再在网站上输入进去。如果动作太慢,验证码过期了,还得重来一遍。对于大多数人来说,这真是个大麻烦,所以很多人都不愿启用这种双重身份验证,任凭自己的账户处在随时可能被攻击的危险境地。
但苏黎世瑞士联邦理工学院的一组研究人员声称,他们已经找到了一种方法可以解决用户双重身份验证的痛点。在今年的Usenix安全大会上,该研究小组发表了一篇论文,描述了他们制作的称为Sound-Proof的新工具。
当你试图登录一个安装了Sound-Proof的站点时,服务器就会向你手机上的一个App应用发送指令信号。然后你的手机和浏览器都将录制一个几秒钟的环境噪音样本。你不需要打开手机,甚至不需要从口袋或是皮包里拿出手机,因为录制动作由服务器自动触发。然后软件会创建一个基于该噪音的数字签名,并上传至服务器对这两个签名进行比对。如果比对成功,服务器就会假定你的手机和你正在试图登录的电脑是在同一个房间,并允许你进行登录。空调低鸣声、杯盘交错声、谈笑低语声等等所有这些噪音都将成为服务器采集的样本。
这类似于酷狗之类的音乐软件里的听歌识别功能,你在酒吧、茶餐厅、街边店、广场舞听到一首好听的歌却又不知道歌名的时候,就可以使用这个功能录上一小段,软件就会根据不同歌曲的独特音质帮你找到这首歌。不过该论文的作者之一克劳迪奥·马弗里奥在接受媒体采访时说,Sound-Proof的底层算法是完全不同的。他说,“我们在第一个原型中曾尝试使用类似的方法,但是产生的效果并不太理想,很可能是由于不同的场景所致。”
为了保护用户隐私,该应用不会上传所录制的音频本身,而是只上传基于所录制音频而生成的数字签名。同时,为了保护电池寿命,在未收到服务器推送的通知指令前,该应用也不会启动录音功能。
这篇论文还包括了研究团队所进行的可用性研究的结果。调查发现,与谷歌的双重身份验证机制相比,在可选择的情况下大多数人都更愿意使用Sound-Proof作为身份验证的辅助手段,至少在某些情况下会使用。不过,进行双重身份验证机制简化尝试的不只Sound-Proof团队。比如安全公司Authy也创建了类似的APP应用程序,只不过是通过蓝牙传输数据,同样无需用户交互。但有一个问题就是还需要在电脑端额外安装软件,要是临时使用别人的电脑登录的话就无能为力了。Sound-Proof虽然也需要在手机端安装APP应用,不过倒是无需在电脑上安装什么插件或软件。
当然,Sound-Proof还是有一些漏洞。最明显的一个就是,如果有人和你同处一室,比如在咖啡店,而这个人又知道你的密码的话,那他就同样也可以登录到你的账户。还有一种可能性,就是如果有人恰巧和你正看着同样的电视节目或正收听着同样的广播,他们就可以根据其房间的环境噪音以及节目的播放延时来冒充你发起登录请求。不过研究人员也表示,这种有针对性的攻击还是比较罕见的。尽管如此,根据他们所进行的研究成果,研究人员还是坚信,有了Sound-Proof要比不使用双重身份验证好得多,虽然这样的坚信已经超出了研究成果的范畴。
到目前为止,Sound-Proof还只是一个研究项目,不过马弗里奥认为,改变或许很快就会发生。他说,“目前我们还在努力提高系统的整体性能,提高登录速度,更好地比对两个音频样本以进一步提高认证的精度。我们的想法是将其作为一个初创企业继续进行运作。”
原文发布时间为: 八月 28, 2015
本文作者:phil
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/hack-geek/9882.html