助理教授Muath Obaidat提出更好,更安全的登录方式

助理教授Muath Obaidat提出更好,更安全的登录方式

助理教授Muath Obaidat提出更好,更安全的登录方式

您是否曾经遇到过照片网格,并要求点击每个红绿灯以证明您在访问电子邮件或银行帐户之前并不是机器人?最近由Muath Obaidat,博士学位,博士学位,博士学院数学和计算机科学系助理教授,可能会阻止您再次通过这一点。与共同作者一起,包括他的学生Joseph Brown'20被授予John Jay的露丝S. Lefkowitz数学奖今年早些时候,Obaidat造成了验证用户信息的新方法,这些方式将更安全地登录网站而不会超额补充系统。他在技术上和逻辑上称之为“向前迈出”,因为所提出的身份验证系统在技术上更安全,而且更容易地部署商业上以前的建议。因此,虽然Obaidat的研究可能看起来很复杂,但他提出了“用于多因素验证的混合动态加密方案:用于远程身份验证的新型范例”的解决方案(传感器, 7月2020年7月)不仅仅是理论,而且他很乐意打破这个想法。

您能描述我们今天大多数人使用的典型用户名/密码认证模型的最常见风险吗?
当前认证模型中最常见的风险是缺乏呈现实际身份证明,特别是在通信期间。由于大多数网站都使用静态用户名和未在会话之间改变的密码,如果攻击者可以获得登录 - 无论是通过猜测还是通过更多的技术手段 - 设计中都没有进一步的机制或细微差别实际阻止它们通过使用被盗数据来模仿用户。虽然2FA(双因素认证)在受欢迎程度上升,但对这个问题的缓解,来自国家标准和技术研究所(NIST)以及高调公共黑客的公布文件都表现出来,这本身就是不够的,因为专注于操纵或窃取数据而不是简单地强迫 - 基本上的攻击攻击,通过试验和错误来解决所有可能的组合来破解密码。

“由于大多数网站都使用静态用户名和未在会话之间改变的密码,如果攻击者可以获得登录,则设计中没有进一步的机制或细微差别,以实际阻止它们使用被盗数据来模仿用户来模仿用户。“ -Muath奥帕特

您能解释您所提出的方法如何验证会话? 
解释这种形式的身份验证如何工作的最简单方法是想象您的钥匙分为两半;客户有一半,服务器有一半。但是,您不仅仅是发送您拥有的密钥的一半,您正在发送所述钥匙一半的蓝图,只能在另一半才能重建。此蓝图每次登录时都会稍微发生变化,但仍然是另一个“整个”键的导数。

只有两个人都有相应的一半:客户端和服务器。这些半部是从原始输入导出的数据的衍生。因此,只要您可以从创建一个输入的前端生产某些内容,即使从未发送此输入,它也可以与此系统集成。将此认为,作为键的键从键的“模具”,然后根据原始模具在两端移动蓝图。

“解释这种形式的身份验证如何工作的最简单方法是想象您的钥匙分成两半;客户有一半,服务器有一半。“ -Muath奥帕特

您提出的计划如何与以前使用或提出的其他方案不同? 
它分开的是设计的灵活性以及它一次尝试修复的问题范围。我们研究的许多其他计划的重点是修复一个问题,通常它们专注于暴牙,这以方案的填充“前端”或“后端”部分的形式表现为不足以思考实际传输数据本身。另一方面,我们的计划专注于保护传输数据,同时肯定不会在通信的任一端引入额外的弱点。

我们经常遇到其他方案的另一个大问题是设计灵活性。许多人来说是不切实际的,无法实施enmasse,或者是如此特定的是他们将自己归类为一个场景,在那里他们不能与其他通信系统的改进相结合或改进其他架构性状。我们的计划在架构集成方面是灵活的。例如,它使用相同的简单客户端 - 服务器框架而不介绍第三方或其他节点,并且整体设计在实现方面都很简单,适应性高。

什么可以更广泛地实现许多新建的认证方案? 
虽然这取决于有问题的方案,但通常有三个因素是预防性的实现:用户可访问性,部署并发症以及效益程度。第一个不是真正的技术,而是与消费者的因素相关。许多方案在消费水平上根本没有广泛实现;不仅是因为速度等方面而且因物流而且。当他们想要登录网站时,用户通过一个复杂的过程并不是很实际,特别是如果您在销售方便的产品是一个因素的情况下,为什么尽管在技术上,某些方案就不会抓住。

另一方面,部署并发症将与如何用新的基础架构替换当前基础架构的事物有关。许多方案显着错开的架构或者对于实际部署是高度特异性的并且太复杂。这些并发症是对可能达到它们的人的威慑作用。最后,益处程度也是一个重要因素。鉴于无处不在的目前的范式如何,简单地改善一个方面以换取实施广泛不同的系统是一个非常大的问。实施需要时间,正如广泛的规模上所采用的那样,所以除非利益足以让人不仅仅是偏离当前的范式,否则许多人不太可能探索“未经证实的”采用。

新的认证方法如何从理论上被广泛采用?通过哪种过程是这种类型的新技术,谁负责它的摄取?
这是一个很好的问题,我认为不幸的是,我不认为有一个奇异的答案。特别是因为互联网的权力下放,很难给出特定的答案在实践中看起来像什么。随着互联网在特定公司下更加巩固,我认为这是一个答案,这将是更大的公司必须对执行兴趣并采取行动创造涟漪效应。由于更加分散的标准,当技术的集体正常化自下而上时,这与过去不同。