Swiss hadir dengan otentikasi dua faktor menggunakan kebisingan latar belakang

Sebuah tim pakar keamanan komputer dari Sekolah Teknik Tinggi Swiss Zurich telah datang dengan metode otentikasi dua faktor baru untuk pengguna yang tidak memerlukan tindakan apa pun dari yang terakhir. Metode, yang disebut Sound-Proof , didasarkan pada perekaman dan membandingkan kebisingan latar belakang di ruangan tempat pengguna berada.

Otentikasi dua faktor adalah cara umum dan efektif untuk meningkatkan keamanan pengguna. Jika dengan otentikasi satu faktor, cukup mengetahui hanya login dan kata sandi pengguna untuk login ke akunnya di layanan web apa pun, maka otentikasi dua faktor menggunakan saluran komunikasi tambahan dengan pengguna untuk memastikan bahwa kata sandi tidak diambil oleh penyerang.

Paling sering, saluran kedua adalah pesan SMS dengan kode rahasia satu kali. Akibatnya, jika penyerang ingin berpura-pura menjadi orang lain, ia tidak hanya harus mendapatkan kata sandi yang biasa, tetapi juga mendapatkan akses ke telepon korban (secara fisik, atau dengan bantuan program Trojan apa pun).

Tetapi semuanya memiliki pro dan kontra. Kerugian dari pendekatan ini adalah perlunya gerakan tambahan untuk pengguna. Anda perlu membuka kunci telepon, membaca SMS, dan memasukkan kode yang diterima dengan benar ke dalam formulir browser, menghapus pesan dari telepon. Peningkatan keamanan, seperti yang sering terjadi, disediakan karena ketidaknyamanan.

Seperti yang Anda ketahui, kemalasan mendorong kemajuan - oleh karena itu, orang Swiss telah menemukan cara untuk menyelamatkan pengguna dari masalah yang tidak perlu. Untuk melakukan ini, ia hanya perlu menginstal aplikasi yang tepat di smartphone-nya sekali, dan memiliki mikrofon di komputernya (biasanya dibangun di laptop).

Ketika Anda mencoba memasukkan sumber daya yang mendukung metode otentikasi ini, sumber daya mengirimkan perintah ke aplikasi, dan dalam waktu tiga detik itu merekam suara latar belakang di tempat di mana pengguna berada. Mikrofon komputer melakukan hal yang sama. Kemudian suara-suara itu diverifikasi. Jika program server mengkonfirmasi identitas catatan, maka pengguna berhasil masuk ke akunnya.

Dan di sini, tentu saja, ada kesulitan. Misalnya, mikrofon dalam telepon pintar dan komputer dapat sangat bervariasi kualitasnya. Komputer desktop mungkin tidak memiliki mikrofon sama sekali. Seorang penyerang dapat masuk ke akun orang lain sementara di ruangan yang sama dengan pengguna (ini sangat penting untuk mencegat data wi-fi di kafe). Atau dia dapat menyalakan stasiun radio atau saluran televisi yang sama dengan pengguna.

Selain itu, beban di server meningkat dan privasi pengguna berkurang - meskipun pengembang mengklaim bahwa perekaman hanya membutuhkan waktu 3 detik, dan bukan file audio yang dikirim ke server, tetapi tanda tangan digital dibuat atas dasar itu. Tetapi siapa yang akan memverifikasi ini?

Penyederhanaan teknologi semacam itu muncul di benak Anda. Bagaimana jika aplikasi tidak perlu merekam noise dan membuat tanda tangan digital darinya menggunakan algoritma yang kompleks? Memang, sebagai gantinya, ia dapat menerima satu set angka dari server dan mengirimkannya dalam bentuk sinyal audio menggunakan pengeras suara ke mikrofon komputer, yang mendekripsi sinyal, dan membandingkan angka-angka ini dengan server - yaitu, mengatur sesuatu seperti modem primitif.

Source: https://habr.com/ru/post/id382901/