Разработка системы аутентификации по клавиатурному почерку

ВВЕДЕНИЕ 5
1 Многофакторная аутентификация 7
1.1 Требования законодательства и стандартов к применению многофакторной аутентификации. 8
1.2 Виды многофакторной аутентификации 10
1.2.1 Аутентификация с помощью SMS 10
1.2.2 Приложения для аутентификации 10
1.2.3 Аутентификация на основе push-сообщений 11
1.2.4 Аппаратная аутентификация 11
1.2.5 Биометрическая аутентификация 12
2. Аутентификация с использованием клавиатурного почерка 16
2.1 Особенности аутентификации по клавиатурному почерку 16
2.2 Выявление основных характеристик клавиатурного почерка 17
2.3 Формирование вектора входных параметров 19
2.4 Аутентификация пользователя на основе параметрического обучения классификатора. 21
2.5 Применение коэффициента Стьюдента, отвечающего за уменьшение ошибки первого рода 26
3 Реализация системы аутентификации 29
3.1 Описание работы веб-компонентов 31
3.2 Логика работы веб-приложения 32
4 Апробация системы аутентификации по клавиатурному почерку 36
4.1 Определение вероятности ошибок первого и второго рода без использования коэффициента Стьюдента 36
4.1.1 Выбор пользователей и определение метрик 36
4.1.2 Проведение апробации 37
4.1.3 Анализ результатов 39
4.2 Определение оптимального значения коэффициента Стьюдента 39
4.2.1 Проведение апробации 40
4.2.2 Анализ результатов 46
ЗАКЛЮЧЕНИЕ 48
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 49

Весь текст будет доступен после покупки

В связи с бурным развитием цифровых технологий становится всё более актуальной защита информации от несанкционированного доступа. Одним из возможных способов повышение безопасности данных является использование многофакторной аутентификации. На данный момент существует множество разнообразных способов удостоверения личности с использованием в качестве дополнительного фактора ПИН-кодов, токенов, одноразовых SMS-паролей или приложения класса Authenticator. Однако эти меры безопасности не справляются с поставленными задачами, так как пароли, ПИН-коды или токены могут быть утеряны или украдены, что ставит под угрозу безопасность системы.
Альтернативным подходом к решению данной задачи является использование биометрических данных человека, таких как отпечаток пальца, голос, изображение лица или радужная оболочка глаза, которые являются уникальными характеристиками человека и представляют собой отличное решение для повышения безопасности системы. Одним из типов биометрических данных является клавиатурный почерк, который может быть использован в качестве решения для безопасного доступа пользователя к системе. Основным преимуществом использования клавиатурного почерка являются доступность и отсутствие необходимости в наличии дополнительного оборудования.
Аутентификация с использованием клавиатурного почерка может быть реализована как с использованием фиксированного заданного текста, так и в формате непрерывной аутентификации с использованием произвольного текста. Общей чертой для данных подходов является большой набор данных о нажатиях клавиш от пользователя для создания шаблона, или, в случае с непрерывной аутентификацией, непрерывный сбор данных о нажатиях клавиш пользователем во время работы для сравнения с эталоном и проверки [1]. Поскольку большинство современных приложений являются облачными, и непрерывная проверка пользователей в облачной среде неприменима, в данной работе используется метод, основанной на динамике нажатия клавиш пользователями, с ограниченным размером выборки и в течение короткого времени. Применяя такой подход, клавиатурный почерк может использоваться как второй фактор аутентификации.
Цель – разработка системы аутентификации с использованием клавиатурного почерка в качестве второго фактора аутентификации.
Для достижения поставленной цели были выделены следующие задачи:
• исследование необходимости применения многофакторной аутентификации;
• изучение различных методов аутентификации, выявление их преимуществ и недостатков;
• изучение различных методов аутентификации с использованием клавиатурного почерка;
• разработка алгоритма аутентификации с использованием клавиатурного почерка;
• разработка веб - приложения;
• проведение апробации.

Весь текст будет доступен после покупки

1 Многофакторная аутентификация

Использование пароля, как единственного фактора для аутентификации становится все менее безопасным. Статистика ежегодных отчетов о расследовании утечки данных Verizon показывает, что в большинстве взломов используются слабые или угадываемые пароли [2]. Кроме того, пароли могут быть украдены с помощью различных методов социальной инженерии.
Специалисты компании Hive Systems опубликовали отчёт, согласно которому брутфорс-атака может взломать сложный восьмизначный пароль за 8 часов. Это возможно благодаря облачным вычислениям, которые становятся всё доступнее [3].
Использование сложных и безопасных паролей заставляет пользователей запоминать множество комбинаций букв/цифр/символов для различных учетных записей. По этой причине многие пользователи, которые используют сложные пароли, используют их для нескольких учетных записей, увеличивая риск несанкционированного доступа.
Для усиления защиты аккаунтов чаще всего применяется многофакторная аутентификация — аутентификация с использованием двух (двухфакторная) или более различных факторов аутентификации [4]. Помимо ввода логина и пароля к аккаунту, пользователю необходимо подтвердить свою личность и ввести одноразовый пароль, полученный по электронной почте, в SMS-сообщении на мобильный телефон, при помощи токена (аппаратного или программного) и т. п. Введение дополнительного уровня безопасности обеспечивает более эффективную защиту учетной записи от несанкционированного доступа. Специалисты компании Google провели исследование, в котором выяснили, что даже одна из самых слабых форм двухфакторной аутентификации – двухэтапная проверка с помощью текстовых SMS-сообщений – может остановить 100% автоматических атак, 96% массовых фишинговых атак и 76% целевых атак [5]. Результаты исследования представлены на рисунке 1.

Весь текст будет доступен после покупки

1 Исследование системы идентификации и подтверждения легитимности доступа на основе динамических методов биометрической аутентификации [Электронный ресурс] – Режим доступа: https://www.elibrary.ru/download/elibrary_44189036_85504586.pdf
2 Data Breach Investigations Report [Электронный ресурс] – Режим доступа: https://www.verizon.com/business/resources/reports/dbir/
3 Are Your Passwords in the Green? [Электронный ресурс] – Режим доступа: https://www.hivesystems.io/blog/are-your-passwords-in-the-green
4 ГОСТ Р 58833-2020 Защита информации. Идентификация аутентификация. Основные положения [Электронный ресурс] – Режим доступа: https://docs.cntd.ru/document/1200172576
5 New research: How effective is basic account hygiene at preventing hijacking [Электронный ресурс] – Режим доступа: https://security.googleblog.com/2019/05/new-research-how-effective-is-basic.html
6 Стандарт безопасности данных индустрии платежных карт (PCI DSS) [Электронный ресурс] – Режим доступа: https://ru.pcisecuritystandards.org/_onelink_/pcisecurity/en2ru/minisite/en/docs/PCI_DSS_v3_2_RU-RU_Final.pdf
7 Приказ ФСБ России от 27.12.2011 N 796 (ред. от 13.04.2021) "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра" (Зарегистрировано в Минюсте России 09.02.2012 N 23191) [Электронный ресурс] – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_126209/
8 Методический документ. Меры защиты информации в государственных информационных системах (утв. ФСТЭК России 11.02.2014) [Электронный ресурс] – Режим доступа: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/805-metodicheskij-dokument
9 NIST: SMS нельзя использовать в качестве средства аутентификации [Электронный ресурс] – Режим доступа: https://habr.com/ru/company/pt/blog/307156/
10 О пользе двухфакторной аутентификации [Электронный ресурс] – Режим доступа: https://mobile-review.com/all/articles/misc/o-polze-i-nadezhnosti-dvuhfaktornoj-autentifikaczii/
11 Разработка методов и алгоритмов повышения защищенности информации на основе анализа клавиатурного почерка [Электронный ресурс] – Режим доступа: http://www.dslib.net/zaw-informacia/razrabotka-metodov-i-algoritmov-povyshenija-zawiwennosti-informacii-na-osnove.html
12 Сарбуков А.Е. Аутентификация в компьютерных системах / А.Е. Сарбуков, А.А. Грушо // Системы безопасности. – 2003. – № 5(53). – С. 118–122
13 Классификация биометричкеских параметров пользователя с помощью вероятностных методов [Электронный ресурс] – Режим доступа: https://cyberleninka.ru/article/n/klassifikatsiya-biometricheskih-parametrov-polzovatelya-s-pomoschyu-veroyatnostnyh-metodov

Весь текст будет доступен после покупки