本页目录
论文速记:安全
2FA
Sound-Proof: Usable Two-Factor Authentication Based on Ambient Sound (Security 2015)
论文提出Sound-Proof,一种新的2FA机制,通过比较两个设备的麦克风收集的环境噪声判断两个设备的接近度,以免除用户在传统2FA中不得不与手机交互,带来更大的便利。
论文表明环境噪声是一个很强的判别器。
The Sounds of the Phones: Dangers of Zero-Effort Second Factor Login based on Ambient Audio (CCS 2016)
论文提出一种针对基于环境音比较的2FA机制(例如Sound-Proof)的攻击方法,即让被攻击者手机播放通知铃声等可预测的音效,从而轻易的复制出相近的环境音。
更多笔记
Zero-effort 2FA schemes:各种新的2FA机制,旨在只输入密码就能完成认证流程,减少用户负担;例如不需要再查看手机收到的验证码。
Typing-Proof: Usable, Secure and Low-Cost Two-Factor Authentication Based on Keystroke Timings (ACSAC 2018)
Sound-Proof虽然简化了用户操作,但是存在一些问题比如安静环境、电脑设备没有内置麦克风等,在一些攻击场景如近距离co-located attack下有安全问题。文章提出的Typing-Proof:
PC端输入密码后,要求用户输入一些随机的字符
PC端通过JavaScript记录所有按键发生的时间戳序列,手机端通过麦克风记录敲击声音
时间戳序列通过服务器发送到手机端,比较是否匹配
如果匹配,认证成功;
如果认证失败,Typing-Proof还提供了一个备用方案,也就是在手机端显示输入的字符,用户确认和PC端自己的输入一致后,在手机端选择“确认”或“拒绝”登录。(One-Button Authentication)
Typing-Proof能更好的应对近距离攻击(复制键盘敲击声不仅要求攻击者与用户在同一环境,同时还要有非常近的物理距离)和攻击者故意触发使用户手机播放特定音频(如消息铃声)的攻击(因为键盘敲击声很难远程模拟)。
更多笔记
一些用户手机交互更少的2FA机制:
Sound-Proof
One-Button Authentication:一键认证,用户在PC登录时手机端会有提示,用户选择允许/拒绝即可;如果攻击者在短时间内同步登录,用户如果没有正确分辨出请求的发起方,可能存在安全问题。
其他
Gossamer: Securely Measuring Password-based Logins (Security 2022)
用户提交的登录信息(如密码)的特征对于制定更好的安全策略、提升系统的易用性以及检测攻击至关重要。然而,由于密码的高度敏感性,直接监测存在很大的安全风险,因此需要开发一种既能提供有用统计信息又能确保密码安全的测量基础设施。
论文设计了一个名为Gossamer的测量系统,可以安全地记录登录请求,包括提交的密码的统计数据。