Die Schweiz bietet eine Zwei-Faktor-Authentifizierung mit Hintergrundgeräuschen

Ein Team von Computersicherheitsexperten der Schweizerischen Technischen Hochschule Zürich hat eine neue Zwei-Faktor-Authentifizierungsmethode für den Benutzer entwickelt, für die keine Maßnahmen erforderlich sind. Die als Sound-Proof bezeichnete Methode basiert auf der Aufzeichnung und dem Vergleich von Hintergrundgeräuschen in dem Raum, in dem sich der Benutzer befindet.

Die Zwei-Faktor-Authentifizierung ist eine gängige und effektive Methode zur Erhöhung der Benutzersicherheit. Wenn bei der Ein-Faktor-Authentifizierung nur die Anmeldung und das Kennwort des Benutzers bekannt sind, um sich in einem Webdienst bei seinem Konto anzumelden, verwendet die Zwei-Faktor-Authentifizierung einen zusätzlichen Kommunikationskanal mit dem Benutzer, um sicherzustellen, dass das Kennwort nicht vom Angreifer übernommen wurde.

Meistens ist der zweite Kanal eine SMS-Nachricht mit einem einmaligen Geheimcode. Wenn ein Angreifer vorgeben möchte, ein anderer zu sein, muss er nicht nur das übliche Passwort erhalten, sondern auch Zugriff auf das Telefon des Opfers erhalten (physisch oder mithilfe von Trojanern).

Aber alles hat Vor- und Nachteile. Der Nachteil dieses Ansatzes ist die Notwendigkeit zusätzlicher Gesten für den Benutzer. Sie müssen das Telefon entsperren, SMS lesen und den empfangenen Code korrekt in das Browserformular eingeben. Löschen Sie die Nachricht vom Telefon. Wie so oft wird aufgrund von Unannehmlichkeiten eine erhöhte Sicherheit geboten.

Wie Sie wissen, treibt Faulheit den Fortschritt voran - daher haben die Schweizer einen Weg gefunden , um den Benutzer vor unnötigen Problemen zu bewahren. Dazu muss er nur einmal die richtige Anwendung auf seinem Smartphone installieren und ein Mikrofon in seinem Computer haben (es ist normalerweise in Laptops eingebaut).

Wenn Sie versuchen, eine Ressource einzugeben, die diese Authentifizierungsmethode unterstützt, sendet die Ressource einen Befehl an die Anwendung und zeichnet innerhalb von drei Sekunden Hintergrundgeräusche an der Stelle auf, an der sich der Benutzer befindet. Das Computermikrofon macht dasselbe. Dann werden die Geräusche überprüft. Wenn das Serverprogramm die Identität der Datensätze bestätigt, meldet sich der Benutzer erfolgreich bei seinem Konto an.

Und hier gibt es natürlich Schwierigkeiten. Beispielsweise können Mikrofone in einem Smartphone und einem Computer in ihrer Qualität stark variieren. Der Desktop-Computer verfügt möglicherweise überhaupt nicht über ein Mikrofon. Ein Angreifer kann sich im selben Raum wie der Benutzer im Konto einer anderen Person anmelden (dies ist besonders wichtig, um WLAN-Daten in einem Café abzufangen). Oder er kann denselben Radiosender oder Fernsehkanal wie der Benutzer einschalten.

Darüber hinaus nimmt die Belastung des Servers zu und die Privatsphäre der Benutzer ab - obwohl die Entwickler behaupten, dass die Aufzeichnung nur 3 Sekunden dauert und keine Audiodatei an den Server gesendet wird, sondern eine digitale Signatur, die auf dieser Basis erstellt wird. Aber wer wird das überprüfen?

Die Vereinfachung dieser Technologie fällt mir ein. Was ist, wenn die Anwendung kein Rauschen aufzeichnen und mit komplexen Algorithmen eine digitale Signatur daraus erstellen muss? Stattdessen kann es eine Reihe von Nummern vom Server empfangen und diese in Form von Audiosignalen über seinen Lautsprecher an das Mikrofon eines Computers senden, der das Signal entschlüsselt und diese Nummern mit dem Server vergleicht - das heißt, so etwas wie ein primitives Modem organisieren.

Source: https://habr.com/ru/post/de382901/