Rheinisch Westfälische Technische Hochschule Aachen Lehr- und Forschungsgebiet Informatik 4 Prof. Dr. Ing. Felix Freiling. Seminar: SeVVes 2006

Transkript

1 Rheinisch Westfälische Technische Hochschule Aachen Lehr- und Forschungsgebiet Informatik 4 Prof. Dr. Ing. Felix Freiling Seminar: SeVVes 2006 alternative Authentifizierungsverfahren: Passfaces & CAPTCHAs Christine Pape 27. Januar 2006 Christine Pape 1

2 Übersicht Einleitung Arten der Authentifizierung Passfaces CAPTCHAs Christine Pape 2

3 Einleitung Passwörter: weit verbreitet oft schlehte, einfach zu merkende Passwörter Alternativen (unabhängig vom Benutzer) Christine Pape 3

4 Arten der Authentifizierung Authentifizierung durch Wissen (z.b. Passwörter) Authentifizierung durch Besitz (z.b. Schlüssel, Smartcards, digitale Zertifikate) Authentifizierung durch biometrische Eigenschaften (z.b. Fingerabdruck) Authentifizierung durch Kognition (z.b. Passfaces, CAPTCHAs),,Mit dem Begriff Kognition werden solche Prozesse und Produkte bezeichnet, die auf der Grundlage der Leistungsfähigkeit des Gehirns auf überwiegend intellektuelle, verstandesmäßige Wahrnehmungen und Erkenntnisse bezogen sind, wie zum Beispiel Wahrnehmungsfähigkeit, Erkenntnisfähigkeit, Schlußfolgerung oder Abstraktionsvermögen. Christine Pape 4

5 Passfaces DEMO: Christine Pape 5

6 Passfaces entwickelt von Real User Cooperation Benutzer bekommt Passfaces, eine Gruppe von (3 bis 7) Passbildern, zugewiesen Authentifizierung: pro Passface ein 3 3-Gitter, bestehend aus Passface und 8 weiteren Bildern Position im 3 3-Gitter: zufällig gewählt, variabel bei verschiedenen Authentifikationen Benutzer erkennt sein Passface und wählt dieses per Mausklick oder Tastatur Christine Pape 6

7 Passfaces: 3 3-Gitter Christine Pape 7

8 Passfaces: Wie wir Gesichter erkennen Das Gehirn speichert Gesichter als Ganzes; keine Unterteilung in Regionen, wie Nase, Mund, Augen Das Gesamtbild wird als räumliches Bild gespeichert Es fällt dem Menschen leicht, sich Gesichter zu merken. Wie leicht, hängt ab von: Unterschiede zwischen Gesichtern Verbindung mit Emotionen Erhalt des Zusammenhangs Wichtigkeit der Person Bekanntheit der Person Vertrautheit der Rasse Christine Pape 8

9 Passfaces: Anzahl der Passfaces und Größe der Gitter Anzahl der Passfaces: n Größe der Gitter: m m n mögliche Kombinationen für Passfaces Christine Pape 9

10 Passfaces: Anzahl der Passfaces und Größe der Gitter Anzahl der Passfaces: n Größe der Gitter: m m n mögliche Kombinationen für Passfaces Beispiele: 3 Passfaces, 3 3-Gitter: 9 3 = 729 Kombinationsmöglichkeiten 7 Passfaces, 3 3-Gitter: 9 7 = Kombinationsmöglichkeiten Christine Pape 10

11 Passfaces: Vorteile gegenüber Passwörtern Passfaces werden nicht so schnell vergessen wie Passwörter Passfaces lassen sich nicht so einfach Dritten mitteilen Christine Pape 11

12 Passfaces: Schwachstellen Auswahl der Passfaces Bekommt der Benutzer bei jeder Authentifizierung immer Gitter mit 9 festen Gesichtern vorgelegt? Eingabe über Mausklick oder Tastatureingabe? Timingattacke bezüglich der Leserichtung? Anzahl der Passfaces und Größe der Gitter Christine Pape 12

13 CAPTCHAs Completly Automated Public Turing Test to Tell Computers and Humans Apart Christine Pape 13

14 CAPTCHAs: Warum ist es von Interesse Computer und Menschen zu unterscheiden? Turing Test: Maß für künstliche Intelligenz Vermeidung automatisierter Angriffe/Operationen Fernhalten von Bots aus Chaträumen Spambekämpfung Christine Pape 14

15 CAPTCHAs: verschiedene Typen Gimpy Sounds Bongo PIX Christine Pape 15

16 CAPTCHAs: Gimpy Christine Pape 16

17 CAPTCHAs: Probleme mit Gimpy und Sounds OCR (Optical Character Recognition) und Spracherkennung sind die Feinde dieser beiden CAPTCHAs Einfache Trennung von Text und Hintergrund sollte vermieden werden Finden einer optimalen Verzerrung des Textes 2 Algorithmen für Gimpy: entwickelt von Greg Mori und Jitendra Malik der Universität von California Christine Pape 17

18 CAPTCHAs: Algorithmus 1 zum Lösen von Gimpys löst 83% der Gimpys mit einem aus einem Wörterbuch stammenden Wortes Christine Pape 18

19 CAPCHTAs: Algorithmus 2 zum Lösen von Gimpys löst 92% der einfachen Gimpys und 33% der schwereren Gimpys, bestehend aus 5 Wortpaaren Christine Pape 19

20 CAPTCHAs: Bongo Christine Pape 20

21 CAPTCHAs: Probleme mit Bongo Sammlung von Analyseprogrammen von Harry Foundalis Datenbank erstellen linke Seite analysieren: Suche nach allen gemeinsamen Merkmalen rechte Seite analysieren: Suche nach allen Merkmalen speichere alle Merkmale der linken Seite, die nicht auf der rechten vorkommen Einordnung der Muster: Reduzierung auf alle Merkmale; existiert ein Merkmal aus der Menge der gespeicherten Merkmale? Christine Pape 21

22 CAPTCHAs: PIX Christine Pape 22

23 CAPTCHAs: Probleme mit PIX eigentlich kein CAPTCHA Nachbau der Datenbank: zeitaufwendig, aber möglich Auswahlmenü hilft zur Eindeutigkeit der Antwortmöglichkeiten, verringert aber auch die Sicherheit Christine Pape 23

24 Schlußfolgerung viele Authentifizierungsverfahren weisen Schwachstellen und Angriffspunkte auf jedes Authentifizerungsverfahren hat Vor- und Nachteile Vorschlag: mehr-faktor-authentifizierung zur Erhöhung der Sicherheit Christine Pape 24

25 FRAGEN? Christine Pape 25

26 richtig erkannt: POLISH richtig erkannt: AGAIN richtig erkannt: FLAG falsch erkannt: SOCK richtig erkannt: HORSE richtig erkannt: RICE richtig erkannt: PORTER falsch erkannt: SPACE Christine Pape 26