零努力的计算机安全是一个梦想吗破坏新的用户验证系统

来自伯明翰阿拉巴马大学和阿尔托大学的研究人员在最近提出的计算机用户验证安全系统中发现了漏洞。

这一新的安全系统是由达特茅斯学院的研究人员开发的，是为了响应对易于使用的系统的需求而创建的，这些系统决定了某人是否实际上是他或她正在声明的人-一个被称为身份验证的过程。

“在我们这个以技术为基础的社会里，我们需要一个密码来做每一件事——从银行到交流。”D.，新兴计算和网络系统安全和隐私实验室主任，UAB艺术和科学学院计算机和信息科学副教授。“由于人们往往难以记住不同平台的所有不同密码，因此识别简单但安全的登录和注销方法有很多价值。”

在涉及病人机密信息的医院等多用户组织中，防止一个人使用他人的登录会话，甚至意外，这一点尤为关键。

Saxena说：“安全界在实现正确的认证系统方面取得了进展。“但设计一款既方便用户又安全的手机绝非易事。”

来自达特茅斯学院的研究人员试图解决这个问题，并通过ZEBRA的开发或零努力双边循环认证来创建安全、用户友好的认证。零努力认证系统，如ZEBRA，将用户排除在等式之外，这样就不需要任何用户的努力来确保安全会话。

新系统的设计是为了解决去认证的潜在安全问题，理想情况下，用户的设备在退出会话后立即注销或锁定自己。ZEBRA提供了一种零功耗的去认证方法，通过比较用户在设备（如计算机终端）上所做的事情和手腕佩戴的手镯的测量结果，不断地认证登录用户。

“现在，这个装置对同一现象有两种不同的双边看法：第一种是直接相互作用的顺序，第二种是从测量中推断出的预测相互作用的顺序，”阿尔托大学计算机科学系教授N.Asokan说。“如果这两个序列匹配，ZEBRA可以得出结论，与之交互的人是在当前登录会话中佩戴正确手镯的同一个人。相反，如果序列发散，则ZEBRA可以迅速自动地对当前登录会话进行去认证。

由国家科学基金会和芬兰学院资助的UAB和Aalto大学研究表明，虽然ZEBRA是一个旨在实现及时和方便用户的身份验证的系统，与诚实的人合作非常好，但机会主义的攻击者可以愚弄系统，Asokan解释说。

在这项研究中，20名测试参与者扮演了受害者的角色，而研究人员则扮演了攻击者的角色。袭击者模仿受害者在他们的装置上所做的事情。

Saxena说：“我们想评估ZEBRA是否能够被击败，以衡量它在面对一个积极试图劫持用户登录会话的人时会有多安全。“我们发现，机会主义的攻击者可以很容易地利用用户。”

机会主义攻击者可以选择靠近受害者，看到或听到受害者在做什么，并决定模仿什么互动。例如，只使用键盘的攻击者可以在受害者使用之前停止键入，并忽略用户的键盘交互之外的所有内容。

阿索坎说：“当攻击者用一个开放的会话访问一台计算机，并仔细选择他在计算机上所做的事情时，ZEBRA无法将他注销。“实际上，机会主义攻击者在40%的时间里逃避侦查，只是在受害者认为会成功的时候才模仿受害者。”

虽然容易受到机会主义对手的影响，但ZEBRA在防止无辜对手意外滥用方面仍然表现良好。

“对攻击者所能做的建模是很困难的。我们指出，攻击者的建模不充分会导致关于系统安全性的错误结论，”阿索坎说。“有了一个现实的攻击者模型，一个系统的缺点就会变得更加明显，并且可以得到解决。”

阿尔托大学和UAB之间的这项联合工作今天将在2016年圣地亚哥网络和分布式系统安全研讨会上介绍。