瑞士提出使用背景噪音进行两因素验证

来自苏黎世瑞士高级技术学校的计算机安全专家小组为用户提出了一种新的两因素身份验证方法，该方法不需要用户采取任何措施。该方法称为“ 隔音”，它基于记录和比较用户所在房间中的背景噪音。

两因素身份验证是提高用户安全性的常见且有效的方法。如果使用单因素身份验证仅知道用户的登录名和密码即可登录任何Web服务中的帐户，则两因素身份验证将使用与用户的另一种通信渠道来确保攻击者未使用密码。

大多数情况下，第二个通道是带有一次性密码的SMS消息。结果，如果攻击者想假装自己是另一个，则他不仅必须掌握惯用的密码，而且还必须（实际上或借助任何Trojan程序）访问受害者的电话。

但是，一切都有优点和缺点。这种方法的缺点是需要用户额外的手势。您需要解锁手机，阅读短信，并在浏览器表单中正确输入接收到的代码，然后从手机中删除消息。由于不便，增加了经常发生的安全性。

如您所知，懒惰正在推动进步-因此，瑞士人提出了一种使用户免于不必要麻烦的方法。为此，他只需要在智能手机上安装一次正确的应用程序，然后在计算机中安装麦克风（通常是笔记本电脑内置的）。

当您尝试输入支持此身份验证方法的资源时，该资源会向应用程序发送命令，并在三秒钟内将背景噪音记录在用户所处的位置。电脑麦克风也是如此。然后验证噪声。如果服务器程序确认记录的身份，则用户成功登录到他的帐户。

当然，这里有困难。例如，智能手机和计算机中的麦克风质量可能相差很大。台式计算机可能根本没有麦克风。攻击者可以在与用户相同的房间内登录另一个人的帐户（这对于在咖啡馆中拦截Wi-Fi数据尤为重要）。或者，他可以打开与用户相同的广播电台或电视频道。

此外，服务器上的负载增加了，而用户隐私却减少了-尽管开发人员声称录制仅需3秒钟，并且音频文件不会发送到服务器，而是会基于此文件创建数字签名。但是谁会验证呢？

想到这种技术的简化。如果应用程序不需要使用复杂的算法记录噪声并从中建立数字签名怎么办？实际上，它实际上可以从服务器接收一组数字，并使用其扬声器将其以音频信号的形式传输到计算机的麦克风，该计算机对信号进行解密并将这些数字与服务器进行比较-即组织类似于原始调制解调器的东西。

Source: https://habr.com/ru/post/zh-CN382901/