تأتي سويسرا بمصادقة ثنائية باستخدام ضوضاء الخلفية

توصل فريق من خبراء أمن الكمبيوتر من المدرسة التقنية العليا السويسرية في زيورخ إلى طريقة مصادقة ثنائية جديدة للمستخدم لا تتطلب أي إجراء من هذا الأخير. تعتمد الطريقة ، المسماة Pro-Proof ، على تسجيل ومقارنة ضوضاء الخلفية في الغرفة التي يوجد فيها المستخدم.

المصادقة الثنائية عامل شائع وفعال لزيادة أمن المستخدم. إذا كان من خلال المصادقة ذات عامل واحد يكفي أن تعرف فقط تسجيل دخول المستخدم وكلمة المرور لتسجيل الدخول إلى حسابه في أي خدمة ويب ، فإن المصادقة الثنائية تستخدم قناة اتصال إضافية مع المستخدم للتأكد من أن المهاجم لم يأخذ كلمة المرور.

في أغلب الأحيان ، تكون القناة الثانية عبارة عن رسالة SMS تحتوي على رمز سري لمرة واحدة. ونتيجة لذلك ، إذا أراد أحد المهاجمين التظاهر بأنه آخر ، فلن يضطر إلى الحصول على كلمة المرور المعتادة فحسب ، بل يمكنه أيضًا الوصول إلى هاتف الضحية (جسديًا أو بمساعدة أي من برامج Trojan).

لكن كل شيء له إيجابيات وسلبيات. عيب هذا النهج هو الحاجة إلى إيماءات إضافية للمستخدم. تحتاج إلى إلغاء قفل الهاتف وقراءة الرسائل القصيرة وإدخال الرمز المستلم بشكل صحيح في نموذج المتصفح وحذف الرسالة من الهاتف. يتم توفير المزيد من الأمان ، كما يحدث غالبًا ، بسبب الإزعاج.

كما تعلمون ، فإن الكسل يقود التقدم - لذلك ، توصل السويسريون إلى طريقة لإنقاذ المستخدم من المتاعب غير الضرورية. للقيام بذلك ، يحتاج فقط إلى تثبيت التطبيق الصحيح على هاتفه الذكي مرة واحدة ، ولديه ميكروفون في جهاز الكمبيوتر الخاص به (عادة ما يكون مدمجًا في أجهزة الكمبيوتر المحمولة).

عند محاولة إدخال مورد يدعم أسلوب المصادقة هذا ، يرسل المورد أمرًا إلى التطبيق ، وفي غضون ثلاث ثوانٍ يسجل ضوضاء في الخلفية في المكان الذي يوجد فيه المستخدم. ميكروفون الكمبيوتر يفعل نفس الشيء. ثم يتم التحقق من الضوضاء. إذا كان برنامج الخادم يؤكد هوية السجلات ، فإن المستخدم يقوم بتسجيل الدخول بنجاح إلى حسابه.

وهنا ، بالطبع ، هناك صعوبات. على سبيل المثال ، يمكن أن تختلف الميكروفونات في الهاتف الذكي والكمبيوتر بشكل كبير في الجودة. قد لا يحتوي كمبيوتر سطح المكتب على ميكروفون على الإطلاق. يمكن للمهاجم تسجيل الدخول إلى حساب شخص آخر أثناء وجوده في نفس الغرفة مع المستخدم (وهذا مهم بشكل خاص لاعتراض بيانات wi-fi في المقهى). أو يمكنه تشغيل نفس محطة الراديو أو القناة التلفزيونية التي يستخدمها المستخدم.

بالإضافة إلى ذلك ، يزيد الحمل على الخادم وتنخفض خصوصية المستخدم - على الرغم من أن المطورين يدعون أن التسجيل يستغرق 3 ثوانٍ فقط ، ولا يتم إرسال ملف صوتي إلى الخادم ، ولكن يتم إنشاء توقيع رقمي على أساسه. ولكن من سيتحقق من ذلك؟

يتبادر إلى الذهن تبسيط هذه التكنولوجيا. ماذا لو لم يكن التطبيق بحاجة إلى تسجيل الضوضاء وإنشاء توقيع رقمي منه باستخدام خوارزميات معقدة؟ في الواقع ، بدلاً من ذلك ، يمكنها استقبال مجموعة من الأرقام من الخادم ونقلها في شكل إشارات صوتية باستخدام مكبر الصوت الخاص بها إلى ميكروفون الكمبيوتر الذي يقوم بفك تشفير الإشارة ومقارنة هذه الأرقام مع الخادم - أي تنظيم شيء مثل مودم بدائي.

Source: https://habr.com/ru/post/ar382901/