ПРОТИВОДЕЙСТВИЕ АТАКАМ ВИДА SHOULDER-SURFING

COUNTERING SHOULDER-SURFING ATTACKS

Anna Vdovina

student, Faculty of Mechanics and Mathematics, Department of Information Systems Security, Samara State University

Russia, Samara

АННОТАЦИЯ

Рассмотрена проблема противодействия атакам вида shoulder-surfing (плечевой серфинг) при использовании графических одноразовых паролей для аутентификации в информационной системе.

Разработана методика противодействия атакам такого типа, основанная на динамической генерации одноразовых паролей методом «Модуль координат» с уточнением необходимых организационных и технических мер.

Показано, что реализация методики способна снизить вероятность подбора графического пароля, а также минимизировать возможность раскрытия алгоритма формирования графического одноразового пароля.

ABSTRACT

The problem of countering shoulder-surfing attacks when using graphical one-time passwords for authentication in the system is considered.

A methodology for countering attacks of this type based on dynamic generation of one-time passwords using the «Coordinate Module» method has been developed, specifying the necessary organizational and technical measures.

It is shown that the implementation of the technique can reduce the probability of selecting a graphical password, as well as minimize the possibility of disclosing the algorithm for generating a graphical one-time password.

Ключевые слова: информационная безопасность; защита информации; атака shoulder-surfing; одноразовые графические пароли.

Keywords: information security; information protection; shoulder-surfing attacks; one-time graphic passwords.

Введение

Пользователи всех информационных систем перед началом работы в обязательном порядке проходят три процедуры:

• идентификация (опознание пользователя на основе признаков);
• аутентификация (подтверждение подлинности);
• авторизация (наделение правами в системе).

Процедуры идентификации и авторизации не создают проблем с безопасностью, а процедура аутентификации обладает уязвимостями и является объектом атак злоумышленников.

Информационные технологии меняются быстро, а вместе с ними и виды реализуемых атак. В связи с этим необходимо постоянно совершенствовать средства защиты. Поскольку сейчас большую популярность набирает графическая аутентификация, которая более остальных видов подвержена атаке shoulder-surfing, следует обратить на это отдельное внимание.

Общие сведения

В настоящее время системы аутентификации имеют множество вариаций реализации – от простых символьных до сложных биометрических. Для доступа к интернет-ресурсам чаще всего используют парольную аутентификацию (так как проста в реализации и доступности), которая реализуется в двух формах:

• символьные пароли (ввод определенного слова или набора символов),
• графические пароли (выполнение определенных действий с изображениями).

Несмотря на достоинства и недостатки каждой формы, виды потенциально возможных атак у них схожи.

Сама идея использования графический паролей основана на «эффекте превосходства картинки». Считается, что «человеческая память чрезвычайно чувствительна к символическому способу представления информации о событии» [3].

Плечевой серфинг – это использование методов прямого наблюдения для получения информации (например, заглядывание через плечо). Это может быть ввод имени пользователя, логина или пароля к учетной записи. Часто атаки такого типа происходят в публичных местах (кафе, улица, банки и т.д.).

В настоящее время уже нет необходимости физически находится около пользователя-жертвы – злоумышленник может использовать камеры видеонаблюдения. Это может быть установленная специально для этих целей скрытая камера или же взлом уже имеющихся в помещении служебных камер.

Сравнительный анализ методов генерации графических паролей

Для разработки методики рассмотрены уже существующие методы и способы защиты, проанализированы их преимущества и недостатки. Среди методов рассмотрены:

• метод «Квадрат» (основа – шифр Плейфера),
• метод «Треугольник»,
• метод «Количество клеток»,
• метод «Модуль координат».

Главным преимуществом каждого метода является факт отсутствия необходимости раскрытия истинных парольных изображений, что в разы повышает стойкость системы, уменьшая вероятность успешной атаки вида плечевого серфинга [1, 2]. На рисунке 1 фиолетовым выделены парольные изображения пользователя, а зеленым – изображения для прохождения аутентификации.

Рисунок 1. Иллюстрация различных методов ввода графических паролей (а – Квадрат, б – Треугольник, в – Количество клеток, г – Модуль координат)

Для удобства в таблице 1 представлены данные о принципе работы известных методов.

Некоторые из методов могут быть персонализированы под возможности конкретных пользователей (размер изображений и количество выводимых изображений).

Таблица 1.

Сравнительный анализ методов ввода паролей

На основе анализа алгоритма регистрации пользователя в системе разработана методика противодействия атакам такого типа, основанная на динамической генерации одноразовых паролей методом «Модуль координат» с уточнением необходимых организационных и технических мер.

Методика предполагает следующие действия пользователя (по этапам).

Этап регистрации:

1. Пользователь-сотрудник проходит очный инструктаж, который проводит ответственное лицо, где ему объясняют правила, принцип работы системы и возможные последствия от несоблюдения правил использования. (Там же сотруднику может быть предложено подписать бумаги о неразглашении конфиденциальной информации, к которой могут относится настройки системы аутентификации.)
2. Пользователь вводит свой логин, который проверяется на соответствие правилам генерации (комбинация букв, цифр и символов; уникальных набор; длина минимум 8 символов; отсутствие личной информации) или получает готовый от администратора.
3. Пользователю выдается первый фактор многофакторной аутентификации (например, аппаратный токен).
4. Пользователь выбирает 3 картинки из предложенных системой (это будут его парольные изображения) для графической аутентификации.
5. Под присмотром инструктора пользователь пробует пройти аутентификацию. (Такой шаг рекомендован для того, чтобы пользователь смог проверить, правильно ли он понял принцип работы системы, и cмог задать вопросы инструктору.)

Этап аутентификации:

1. Пользователь вводит логин для идентификации.
2. Система проверяет наличие такого логина в системе.
3. Система требует предъявления первого фактора многофакторной аутентификации. (Если данный этап пройден успешно, то идет переход на 4 пункт.)
4. На экране появляется матрица N×N с изображениями (каждый раз размерность матрицы варьируется от 8 до 12 включительно).
5. Пользователь мысленно накладывает на матрицу оси координат и находит свои парольные изображения.
6. Мысленно складывает по модулю N сначала координаты найденных изображений по оси абсцисс, потом складывает по модулю N координаты по оси ординат.
7. Пользователь вводит полученные координаты (х', у') в поле ввода пароля (вводятся только числа).
8. Система сверяет предложенный пароль с эталонным, который уже автоматически высчитан системой и хранится на защищенном сервере.
9. В случае подтверждения верности пароля – шаги 5-7 повторяются еще два раза (ввести пароль необходимо трижды).
10. В случае неверного ввода пароля дается еще одна попытка, если попытка провальная – окно приложения закрывается, администратору безопасности сразу же отправляется уведомление о «неудачных» попытках входа со всеми необходимыми данными.

Рекомендации

Применение графических паролей обеспечивает достаточно высокий уровень безопасности, при этом не создавая сложностей для пользователя. Графические пароли могут быть вторым фактором в многофакторной аутентификации, тогда их можно применять во всех типах информационных систем, поскольку тогда будет достаточно защищенная и стойкая система аутентификации.

Для защиты системы аутентификации от возможных атак требуется комплексный подход.

Выводы

1. Графические методы ввода паролей обеспечивают удобство для пользователей.
2. Представленные результаты сравнительного анализа методов ввода графических паролей позволяют делать обоснованный выбор при разработке средств защиты различных информационных ресурсов.
3. Методика противодействия атакам вида плечевого серфинга, представленная в работе, позволит повысить защищенность системы.

Список литературы:

1. Основные виды графических парольных систем и подходов к их реализации / С. М. Попков, К. Е. Назарова, Л. Е. Мартынова [и др.]. — Текст: непосредственный // Молодой ученый. — 2016. — № 22 (126). — С. 4-8. — URL: https://moluch.ru/archive/126/34960/ (дата обращения: 18.04.2024).
2. Процесс аутентификации с применением графических паролей / Давыдов С.Н., Клепцов М.Я., Любимова Л.В. [Электронный ресурс] // Открытое образование: [сайт]. — URL: https://openedu.rea.ru/jour/article/view/27/29 (дата обращения: 15.03.2024).
3. John C. Yuille Imagery, Memory and Cognition (PLE: Memory): Essays in Honor of Allan Paivio – Psychology Press, 2014. – 356 с.