Autentizace: analýza způsobu psaní na klávesnici

Je možné ověřit uživatele na základě toho, jakým způsobem píše na klávesnici?

Ovšem že ano, způsob jakým uživatel píše na klávesnici, je jednoznačně biometrická charakteristika a ta jako taková může být snadno využita v rámci vícefaktorové autentizace. Hlavní výhoda tohoto řešení pak spočívá především v tom, že není nutné instalovat žádný HW, neboť klávesnicí je vybaveno v podstatě každé zařízení a SW, který je k zaznamenání těchto charakteristik potřeba, může být snadno integrován v podobě javascriptu do každé webové aplikace.

Další výhodou tohoto řešení je, že po uživateli nejsou požadovány žádné úkony navíc, řešení je zcela transparentní, uživatel o tom, že probíhá nějaká analýza toho, jak píše, nemusí v podstatě vůbec vědět. Oproti ostatním autentizacím metodám, kdy se uživatel autentizuje jen jednou a v průběhu práce již k vyhodnocování toho, kdo v systému pracuje, nedochází, může být v tomto případě identita uživatele ověřována prakticky po celou dobu jeho práce.

Na první pohled se zdá, že možnosti využití tohoto řešení jsou značné. Mohlo by být použito nejen pro autentizaci, ale i pro zajištění autenticity zprávy, dokumentu nebo jakéhokoliv na klávesnici pořízeného textu, neboť hned by bylo zřejmé, kdo daný text napsal. Charakteristika způsobu psaní by se dala zkombinovat s otiskem počítače, a tak by se dalo nejen zjistit, že u počítače sedí oprávněný uživatel nebo někdo zcela jiný, ale i zda je do aplikace přistupováno ze stejného počítače. Dále by se mohlo jednat i o účinnou ochranu před keyloggerem, který zachytává pouze to, co bylo napsáno, nikoliv jako to bylo napsáno.

Jenže když se zamyslíme nad tím, jak celé toto řešení funguje, zjistíme, že všechno je trochu jinak. Kód, který se o pořízení těchto biometrických charakteristik stará, je celkem jednoduchý. Zaznamenává dobu, po kterou byla daná klávesa stisknuta (prodleva mezi událostmi keydown a keyup) a dobu, která uběhla mezi stiskem dvou po sobě jdoucích kláves (prodleva mezi stiskem keyup a dalším keydown), a dále, které dvě po sobě jdoucí klávesy to byly. Jak vidíte, parametrů, které můžeme vyhodnocovat, opravdu moc není.

Tyto parametry, zachycené skriptem na straně klienta pak jsou předány na server, na kterém pak proběhne vlastní vyhodnocení proti již dříve uloženému vzoru, tzv. keystroke pattern recognition a spočte se skóre. Stejně jako u všech ostatních biometrických metod musí i zde být nastavena nějaká tolerance, protože uživatel nikdy nezadá ani ten samý text úplně stejně. A stejně jako i u ostatních biometrických metod, i zde bude existovat určité riziko chybně přijatých a chybně odmítnutých uživatelů.

Nyní, když již víme, jak tato biometrická metoda funguje, se můžeme zamyslet nad tím, jakým způsobem by bylo možné na ní vést útok. Nejjednodušším způsobem je použít stejný skript a umístit ho na vlastní webovou stránku, na které donutíme oběť něco napsat, ale stejně tak se může jednat i o keylogger, který bude kromě hesel uchovávat i tyto charakteristiky. Narážíme zde na podobný problém jako v případě hlasové autentizace, kdy v okamžiku kdy bude mít útočník možnost si pořídit tyto charakteristiky, může následně na server poslat takovou odpověď, tj. text včetně charakteristik, který bude programem vyhodnocen, jako že ho napsal daný uživatel.

Samozřejmě, že provedení útoku není až tak jednoduché, neboť útočník by vzhledem k tomu, že ani oprávněná osoba není schopna dosáhnout opakovaně stejného skóre, musel nejprve analyzovat, jakým způsobem k vyhodnocování na straně serveru probíhá, a charakteristiku, kterou na server posílá, upravit tak, aby spočtené skóre nedosáhlo hodnoty 100%, protože jinak by to bylo hned podezřelé.

Podívejte se schválně na konkrétní řešení od německé společnosti TM3 Software GmbH, která vyvinula SW KeyTrac, který si můžete vyzkoušet přímo v prostředí vašeho prohlížeče. Demo vyžaduje zadání poměrně dlouhého textu, ale nenechte se odradit, stojí to za to. Kromě toho má firma v nabídce i řešení, která se spokojí i se zadáním pouhých 8 znaků. Já jsem dosáhl skóre 99,98% a co vy?

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,

  1. Miroslav Čermák

    A tihle se tomu zase snaží zabránit: https://www.indiegogo.com/projects/keyboardprivacy#/


K článku “Autentizace: analýza způsobu psaní na klávesnici” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: