Ważne
Wiko VIEW

Hałas twojego otoczenia zamiast weryfikacji dwuetapowej?

Większość z nas przyzwyczaiła się już do dwuetapowego uwierzytelniania, nawet jeśli oznacza to podanie dodatkowego kodu, kiedy logujemy się do jakiejś usługi z nowego miejsca. Szwajcarzy wpadli jednak na nowy sposób uwierzytelniania nawet i bez tego: przez rejestrację hałasu z otoczenia.

Idea stojąca za weryfikacją dwuetapową jest jasna: chodzi o dodatkową barierę, o którą będą rozbijać się hakerzy i osoby, które próbują podszywać się pod właściwego użytkownika. Wysłanie kodu na drugie urządzenie osoby, która się loguje do jakiejś usługi jest jednym ze sposobów na to by sprawdzić, “czy Ty to naprawdę Ty”. Jak się jednak okazuje, niektórzy wpadają na nowe pomysły dotyczące takiej weryfikacji.

Futurae jest firmą, która narodziła się na Szwajcarskim Federalnym Instytucie Technologii w Zurychu (ETHZ). Opracowała ona metodę uwierzytelniania, która wykorzystuje odgłosy otaczającego nas środowiska. Oprogramowanie nazywa się Sound Proof.

Ekipa Futurae Technologies: Claudio Marforio, Nikos Karpanos, Samuel Berger, Sandra Tobler, Ilias Rinis i Mike Resvanis.

Kiedy dana usługa będzie chciała przeprowadzić test autentyczności, wysyła zapytanie do urządzenia, które próbuje uzyskać do niej dostęp oraz jednocześnie – do osobistego urządzenia użytkownika, które miałoby potwierdzić tę próbę (najczęściej smartfona). Na jednym jak i drugim sprzęcie pobierane są dwie 3-sekundowe próbki dźwięku, a następnie są one porównywane. Jeśli dwa nagrania są wystarczająco podobne, stwierdza się, że użytkownik znajduje się w tym samym miejscu, co urządzenie logujące. Uwierzytelnia to próbę logowania i jest ona “przepuszczana” dalej.

Na przykład, jeśli ta sama część tego samego utworu muzycznego będzie “lecieć” podczas nagrań obu urządzeń, lub gdy sprzęty “usłyszą” te same słowa, logowanie będzie poprawne. Ale jeśli telefon nagra tylko jak jakiś ptak drze dzioba za oknem, a z laptopa oprogramowanie uzyska próbkę dźwięku ulicznego zgiełku, logowanie nie powiedzie się. Firma zapewnia, że patent działa nawet wtedy, gdy nasz smartfon jest w kieszeni lub leży w sąsiednim pokoju.

Co jeśli mamy do czynienia z kompletną ciszą? Wtedy mikrofony zbiorą ultradźwięki – niesłyszalne dla nas, ale wystarczające do weryfikacji logowania.

Oczywiście nie chodzi o zastąpienie dotychczasowych technik uwierzytelniania, ale technologia ta może być wykorzystana jako dodatkowy czynnik, wspierający bezpieczeństwo lub oceniający ryzyko przejęcia konta użytkownika.

Futurae niedawno uzyskało 130 tysięcy franków szwajcarskich jako nagrodę w lokalnym konkursie dla startupów Venture Kick. Firma planuje wykorzystać gotówkę, by przepchnąć Sound Proof z fazy projektu do pełnego, komercyjnego produktu.

Gdyby kogoś interesowały szczegóły techniczne, wszystkiego można dowiedzieć się z tego PDF-a.

źródło: TechCrunch, ETH Zürich

Komentarze

  • Michał Kubiak

    Czyli tak naprawdę dalej 2FA tylko bez wpisywania kodu, wygodne. Niech mnie ktoś poprawi, ale to chyba nie jest ani trochę bardziej bezpieczne niż inne wersje 2FA, bo jeśli przestępca zdobędzie dostęp do urządzenia używanego do 2FA to i tak ukradnie co chce, prawda? Będzie kraść z tego samego miejsca co leży ukradziony telefon. Co innego gdyby w tło dźwiękowe wprowadzona była próbka głosu właściciela konta odczytującego jednorazowe hasło… już dawno temu specjaliści nauczyli się analizować głos na podstawie składowych częstotliwości tak, że żaden mimik tego nie oszuka – takie próbki nie są trudne do zrobienia.

    • Wygląda na to, że wystarczy by ukradł i trzymał się blisko nas – czyli np. współpracownik z biura może się łatwo włamać.

  • ChrisErnovsky

    “Większość z nas przyzwyczaiła się już do dwuetapowego uwierzytelniania…”
    Większość nie używa lub nie ma pojęcia, co to jest dwuetapowe uwierzytelnianie.

  • Meretycz

    A jak nie ma mikrofonu?

  • zz

    Świetne rozwiązanie do inwigilacji, które będzie wykorzystywane do namierzania tożsamości userów. Podobno specsłużby w podobny sposób poznają dane ludzi za Țorem.

Logowani/Rejestracja jest chwilowo wyłączona