Art. 04 – Vol. 27 – Nr. 4 – 2017

AUTENTIFICARE SECURIZATĂ FOLOSIND METODE BIOMETRICE – STUDIU DE CAZ TYPINGDNA

Antonio COHAL
antonio.cohal@rotld.ro
Carmen ROTUNĂ
carmen.rotuna@rotld.ro
Institutul Naţional de Cercetare-Dezvoltare în Informatică – ICI Bucureşti

Rezumat: În ultimii ani, securitatea internetului şi a comunicaţiilor electronice reprezintă factori cheie pentru economie şi pentru societate în general, întrucât observăm o creştere a numărului de incidente majore în materie de securitate cibernetică, datorată unor factori variaţi. Incidentele de securitate pot afecta utilizatorii individuali, organizaţiile, operatorii economici, guvernele şi societatea în general. Un număr foarte mare de incidente sunt cauzate de utilizarea parolelor slabe, furate sau implicite. Această lucrare oferă o perspectivă asupra metodelor puternice de autentificare, cum ar fi autentificarea folosind metode biometrice precum Keystroke Dynamics sau TypingDNA. Implementarea metodelor biometrice a devenit din ce în ce mai folosită în ultimul timp, grație beneficiilor interacțiunii utilizatorilor. TypingDNA este un nou model de autentificare prin recunoașterea utilizatorului pe baza unui text tastat anterior. În acest fel, dacă se pierde o parolă, recuperarea se va face prin recunoaşterea utilizatorului în mod automat de către aplicaţie, bazat pe modul de scriere a textului dat. Prin urmare, scopul acestei cercetări este de a oferi părţilor interesate, dezvoltatorilor de software şi organizaţiilor, o analiză comparativă a unor tehnici de autentificare cu un grad ridicat
de securitate.

Cuvinte cheie: autentificare, metode biometrice, Keystroke Dynamics, TypingDNA, autentificare securizată,
securitate cibernetică.

Introducere: În contextul creşterii exponenţiale a atacurilor cibernetice este evidentă necesitatea utilizării unor noi mecanisme pentru creşterea nivelului de securitate la nivel de aplicaţie. Un studiu realizat de compania de cercetare Gartner arată că 95% din atacurile aplicaţiilor Web fac uz de parole furate. [13]

În iunie 2012, parolele SHA-1 a 6,5 milioane de utilizatori, utilizate pe o rețea de socializare de mari dimensiuni, au fost dezvăluite pe forumuri publice de hackeri. Impactul atacului nu este pe deplin cunoscut, dar milioane de utilizatori au fost îndemnaţi să îşi schimbe parolele, întrucât datele lor personale puteau fi în pericol [14].

Parolele devin din ce în ce mai puţin fiabile în protejarea datelor şi a identităţilor utilizatorilor, gestionarea, protecţia şi memorarea lor devin din ce în ce mai problematice, iar persoanele neautorizate au nenumărate modalităţi de a le fura sau compromite.

Mecanismele de autentificare multi-factor au fost de mult cunoscute ca o soluţie, dar datorită complexităţii în implementare şi costurilor ridicate, acestea nu sunt încă utilizate la scară largă [9]. Parolele continuă să rămână principala metodă de autentificare datorită simplităţii lor. Un număr mare de atacuri asupra sistemelor informatice se datorează utilizării acestora ca metodă de autentificare.

Există şi alte metode de verificare a autentificării cum ar fi:

  • Email;
  • SMS;
  • Token

Aceste metode sunt folosite la o scară foarte largă, însă prezintă anumite dezavantaje. Pentru verificarea autentificării prin sms este necesară deţinerea unui telefon în permanenţă şi cu toate acestea nu este sigură în totalitate deoarece  sistemele de operare ale telefoanelor mobile au vulnerabilităţi care pot fi exploatate.

Metoda de autentificare cu token necesită deţinerea în permanenţă a unui dispozitiv de generare al token-ului care şi acesta la rândul lui poate fi vulnerabil din punct de vedere al securităţii. Metoda de autentificare prin email este un pic anevoioasă deoarece necesită o autentificare în prealabil în contul de email.

Utilizatorii nu îşi amintesc întotdeauna parolele de la diferite conturi. O metodă folosită de utilizatori pentru a contracara acest lucru este de a folosi aceeaşi parolă pentru toate conturile ceea ce face mult mai nesigură autentificarea, iar riscul de a expune toate conturile creşte considerabil.

Există păreri care afirmă că autentificarea utilizatorilor ar trebui să se facă şi cu parole incomplete. La fel cum semnăturile de pe documente nu sunt identice întotdeauna şi totuşi sunt acceptate în marea majoritate a cazurilor. Acest tip de autentificare este foarte rar folosit şi implementarea lui este destul
de complexă

Vizualizează articolul complet

ACEST ARTICOL POATE FI CITAT CA:
Antonio COHAL, Carmen ROTUNĂ, Autentificare securizată folosind metode biometrice – studiu de caz TypingDNA, Revista Română de Informatică şi Automatică, ISSN 1220-1758, vol. 27(4), pp. 39-46, 2017.

Concluzii: Există o serie de alternative viabile la utilizarea parolei ca metodă de autentificare, alternative care nu numai că îmbunătăţesc eficacitatea securităţii pentru organizaţie, ci oferă şi beneficiul utilizabilităţii facile pentru utilizatorii finali. În ciuda măsurilor avansate de securitate pe care întreprinderile le pun în aplicare, utilizarea parolelor pentru autentifi-care împiedică atingerea unui nivel ridicat de securitate. Înlocuirea acestora este o abordare excelentă în prevenirea celor 63% din atacurile cibernetice confirmate, care au implicat parole slabe, implicite sau furate, aşa cum reiese din raportul de investigaţii cu privire la incidentele de securitate al Verizon [13].

Acknowledgment 

Această lucrare a fost realizată ca parte a proiectului Nucleu: PN 16 09 01 02 – Cercetări privind autentificarea online în cadrul aplicaţiilor software bazate pe comportamentul utilizatorilor.

BIBLIOGRAFIE

  1. SHI, E.; NIU, Y.; JAKOBSSON, M.; CHOW, R.: Implicit Authetication through Learning User Behavior, Information Security. Springer Berlin Heidelberg, 2011, pp. 99-113.
  2. ROTH, J.: On Continuous User Authentication via Typing Behavior. IEEE Transactions On Image Processing, July 28, 2014.
  3. YAMPOLSKIY, V. R.: Action-based user authentication. Int. J. Electronic Security and Digital Forensics, Vol. 1,
    3, 2008.
  4. *** FTC seeks public comments on facial recognition, 2012, https://crisisboom.com/ 2012/01/10/ftc-seeks-public-comments-on-facial-recognition/
  5. *** Fingerprint sensors, facial recognition and biometric surveillance to propel biometrics market, http://www.donseed.com/4278-2/
  6. *** IBTimes, 2015, UN: Biometric iris scanners transforming Syrian refugee programme by preventing fraud, http://www.ibtimes.co.uk/un-biometric-iris-scanners-transforming-syrian-refugee-programme-by-preventing-fraud-1527362
  7. *** 5 Things You Should Know About the FBI’s Massive New Biometric Database, 2012, https://crisisboom.com/2012/ 01/11/fbi-biometric-database/
  8. *** NIST Authentication Guideline. 2016, https://pages.nist.gov/800-63-3/sp800-63-3.html#sec4
  9. *** Strong Authentication Best Practices, https://safenet.gemalto.com/multi-factor-authentication/strong-authentication-best-practices/
  10. *** Biometric authentication: what method works best?, http://www.technovelgy.com/ ct/Technology-Article.asp?ArtNum=16
  11. *** Understanding Digital Certificates, https://technet.microsoft.com/en-us/library/bb123848(v=exchg.65).aspx
  12. Retina scan, http://whatis.techtarget.com/ definition/retina-scan
  13. *** Highlights From Verizon Data Breach Report https://blogs.gartner.com/anton-chuvakin/2015/05/18/highlights-from-verizon-data-breach-report-2015/
  14. *** Raportarea Incidentelor Cyber în UE – ENISA, august 2012 – https://www.enisa.europa.eu/publications/ cyber-incident-reporting-in-the-eu/at_download/fullReport
  15. *** Verizon Data Breach Investigations Report,2017
    http://www.verizonenterprise.com/resourcs/reports/rp_DBIR_2017_Report_en_xg.pdf
  16. *** BioPassword Whitepaper, Authentication Solutions Through Keystroke Dynamics, 11 pag.
  17. SWARNA BAJAJ; SUMEET KAUR: Typing Speed Analysis of Human for Password Protection (Based On Keystrokes Dynamics), International Journal of Innovative Technology and Exploring Engineering (IJITEE), ISSN: 2278-3075, Volume-3, Issue-2, July 2013.
  18. PIN SHEN TEH, ANDREW BENG JIN TEOH AND SHIGANG YUE: A Survey of Keystroke Dynamics Biometrics, The ScientificWorld Journal, Volume 2013, Article ID 408280, 24 pages.
  19. SHANMUGAPRIYA, G. PADMAVATHI: A Survey of Biometric keystroke Dynamics: Approaches, Security and Challenges. (IJCSIS) International Journal of Computer Science and Information Security, Vol. 5, No. 1, 2009.
  20. ARWA ALSULTAN; KEVIN WARWICK: Keystroke Dynamics Authentication: A Survey of Free-text Methods. IJCSI International Journal of Computer Science Issues, Vol. 10, Issue 4, No 1, July 2013, ISSN (Print): 1694-0814 | ISSN (Online): 1694-0784
  1. MARGIT ANTAL*; LÁSZLÓ ZSOLT SZABÓ; IZABELLA LÁSZLÓ: Keystroke Dynamics on Android Platform. 8th International Conference Interdisciplinarity in Engineering, INTER-ENG 2014, 9-10 October 2014, Târgu Mureş, România.
  2. *** https://typingdna.com/

Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License.