211service.com
Lietotāja kļūda apdraud daudzas šifrētas saziņas lietotnes
Saskaņā ar jaunākajiem pētījumiem viedtālruņu lietotņu un īpašo tālruņu, kuru mērķis ir nodrošināt drošu saziņu, drošību bieži var apdraudēt paši lietotāji.
Lietojumprogrammas, kas ietver RedPhone un Signal, var lūgt cilvēkiem, kuri zvana vai sūta viens otram īsziņas, mutiski salīdzināt īsu vārdu virkni, ko viņi redz savos ekrānos (bieži dēvē par kontrolsummu vai īsu autentifikācijas virkni), lai pārliecinātos, ka jauna saziņas sesija ir notikusi. nav pārkāpis iebrucējs. Ideja ir tāda, ka, ja zvana drošība ir apdraudēta, šie vārdi nesakrīt.
Lai pārbaudītu, cik labi tas darbojas, Birmingemas Alabamas universitātes pētnieki veica pētījumu, kas atdarināja kriptofona lietotni. Pētnieki lika dalībniekiem izmantot tīmekļa pārlūkprogrammu, lai piezvanītu uz tiešsaistes serveri. Pēc tam viņi noklausījās nejaušu divu vai četru vārdu secību un noteica, vai tā atbilst vārdiem, ko viņi redzēja datora ekrānā. Dalībniekiem tika arī lūgts pārbaudīt, vai viņu dzirdētā balss ir tāda pati kā balss, ko viņi bija dzirdējuši iepriekš lasot īsu stāstu.
Pētnieki atklāja, ka pētījuma dalībnieki bieži pieņēma zvanus, pat ja viņi dzirdēja nepareizu vārdu secību, un bieži noliedza zvanus, kad secība tika izrunāta pareizi. Turklāt pētnieki saka, ka četru vārdu kontrolsummas izmantošana divu vārdu kontrolsummas vietā, šķiet, samazina drošību, lai gan garākai kontrolsummai vajadzētu palielināt drošību eksponenciāli.
Pētnieki iepazīstināja ar savu darbu rakstā šomēnes plkst datoru drošības konference Losandželosā.
Pētījumā piedalījās 128 cilvēki, un Maliheh Širvanian , darba vadošais autors un Birmingemas Alabamas universitātes maģistrantūras students, stāsta, ka dalībnieki 30 procentos gadījumu pieņēma nepareizu divu vārdu virkni, ja tā nāk no balss, kas ir pareizi pārbaudīta kā tāda, ko viņi bija dzirdējuši iepriekš. Viņi arī noraidīja divu vārdu virknes, kas tika runātas pareizi aptuveni 22 procentus laika.
Turklāt pētnieki pamanīja, ka dalībnieki pieņēma četru vārdu virknes, kas bija nepareizas aptuveni 40 procentus laika, un noraidīja tos, kas bija pareizi 25 procentus laika.
Džastins Troutmens , kriptogrāfs, kurš strādā šifrētās meklēšanas startupā Kryptnostic un ir koncentrējis savu darbu uz kriptogrāfijas un lietotāja pieredzes krustpunktu, saka, ka viens no iemesliem, kāpēc cilvēki var pieņemt nepareizas kontrolsummas, ir tas, ka tās sastāv no nejaušiem vārdiem, nevis no secības, ko jūs varētu redzēt. teikumā. Lietotāji, tos dzirdot, var nedaudz noskaņoties, it īpaši, ja viņi atpazīst runātāja balsi otrā galā. Viņš piebilst, ka ar lielāku vārdu skaitu viņi varētu noskaņot tos, kas ir vidū.
Cerot uzlabot drošību, pētnieki saka, ka tagad strādā pie jauna pētījuma, kurā aplūkots, kā izmantot programmatūru, lai droša zvana sākumā salīdzinātu kontrolsummas, īpaši garākas. Kā to paredz pētnieki, zvana dalībnieki skaļi runās savus vārdus. Pēc tam programmatūra transkribētu vārdus un salīdzinātu abus transkripcijas. Tādā veidā lietotāji vienkārši apstiprinātu, ka balss otrā galā izklausās pazīstami, pieņemot, ka viņi jau zina, kā izklausās persona, ar kuru viņi runā (kas, protams, ne vienmēr tā būs).