【AsiaCCS 2021】Bypassing Push-based Second Factor and Passwordless Authentication 论文笔记

最新推荐文章于 2024-07-22 08:52:45 发布
最新推荐文章于 2024-07-22 08:52:45 发布
阅读量257 收藏
点赞数
分类专栏: 论文笔记 文章标签: HIENA攻击 二步验证 无密码认证 推送通知 安全漏洞

【AsiaCCS 2021】Bypassing Push-based Second Factor and Passwordless Authentication with Human-Indistinguishable Notifications

作者:Mohammed Jubur1, Prakash Shrestha2, Nitesh Saxena1, and Jay Prakash3

单位:1University of Alabama at Birmingham(阿拉巴马大学伯明翰分校), 2Equifax Inc.(艾可飞), 3Singapore University of Technology and Design(新加坡科技设计大学)

会议:ASIA CCS 2021

论文链接:Bypassing Push-based Second Factor and Passwordless Authentication with Human-Indistinguishable Notifications

ABSTRACT

针对One-Push 2FA或者One-Push passwordless登录认证模式,作者设计了HIENA“Human-IndistinguishablE Notification Attack”)攻击。该种攻击中,攻击者在受害用户尝试登录后,也立即登录,来触发多个相似的通知,以迷惑用户,诱导用户错误地批准攻击者的登录请求。作者通过用户实验,评估了HIENA攻击的有效性。

1. INTRODUCTION

Push-2FA 模式能够减少用户登录所需的操作数量和记忆负担。
在这里插入图片描述

本文的实验方式主要是Human-Factors Study(人为因素实验研究)。

2. BACKGROUND AND MODELS

2.1 System Model

Push-2FA 登录认证的基本流程如下:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2mWc2H8s-1646886506323)(images/image-20210711202041259.png)]

2.2 Adversarial Model

Push-2FA 生成的通知未唯一地绑定到用户的登录会话,因此,如果大约在同一时间触发多个通知,用户可能会无法区分这些通知,并且可能会接受与攻击者会话相对应的通知(攻击者通知将显示在合法通知之上)。

即,针对Push 2FA的攻击流程如下:
在这里插入图片描述

Threat model assumption:

  • 攻击者能通过第一轮身份验证

    即攻击者能获知受害用户的用户名和口令等登录凭据

    • 针对passwordless Scheme(例如),攻击者无需获知相关登录凭据

  • 攻击者能在接近受害者登录的时间发起登录

    作者认为有以下途径,实现该条件:

    • Traffic Monitoring and Remote Website Fingerprinting:流量监控和远程网站指纹识别

      监视用户的浏览会话,来了解用户可能在何时访问某一网站。

    • Utilizing Contextual Information and Login Patterns:借助辅助信息

      例如,1月13日是学期的开始,许多学生和教职员工将返回校园,登录大学的邮件和服务以发起注册课程,访问课程信息等。再例如,在大学发布成绩时,学生最有可能在成绩发布后立即登录以查看成绩。

    • Active Social Engineering:主动社会工程

      例如,攻击者通知受害者其账户已被盗用或口令已过期,要求其立即重置口令。

    • Compromised End Points:入侵受害者终端设备

      例如,攻击者在受害者手机上部署恶意软件,来获知受害者的登录情况。

    • Observation from Physical Proximity:从临近处观察

      例如,攻击者坐在受害者周围,观察到了受害者的登录行为。

3. OUR ATTACK

  • 按照攻击者和受害者登录信息的匹配程度

    登录推送通知中,通常包含登录位置、登录IP等登录信息。

在这里插入图片描述

  • Spoof-Notif Attack: 攻击者和受害者在推送中的登录信息完全相同

  • Non-Spoof-Notif Attack: 攻击者和受害者在推送中的登录信息不完全相同

    这种情况下,在受害者对推送通知中的登录信息不留意的情况下,攻击才能实现。

  • Intermediary scenarios: 例如,攻击者和受害者的登录IP不同,但是在相同的城市

  • 按照攻击者能否触发受害者手机上其他应用的通知

    • Other-Notif Attack: 攻击者能触发其他应用的通知

      更容易掩盖UN,也就能避免用户的警觉,从而更容易实现攻击

    • Login-Notif Attack: 攻击者不能触发其他应用的通知

在这里插入图片描述

4. ATTACK EVALUATION STUDY DESIGN

4.1 Implementation

  • WebService-App:运行在远端服务器上

  • Browser-App:PC端,展示给用户

  • Phone-App:Android端,展示给用户

界面种类设计:

  • Input-PopUpPlain-PopUp

  • Left-UIRight-UI

在这里插入图片描述
在这里插入图片描述

4.2 Login Sessions

  • Benign Session:正常登录过程
  • Attack Session:包含攻击者通知的登录过程
    在这里插入图片描述

要求每个参与者完成32个Login Session,Login Session的构成如上所示,Login Session的顺序随机打乱。

4.3 Study Metrics and Hypothesis

  • Benign Success Rate (BSR)
    B S R =  #accepted_benign_sessions   #benign_sessions  B S R=\frac{\text { \#accepted\_benign\_sessions }}{\text { \#benign\_sessions }} BSR= #benign_sessions  #accepted_benign_sessions 
    ​ 也就是正常情况下,用户完成登录的比例

  • Attack Success Rate (ASR)
    A S R =  #accepted_attack_sessions  #  attack_sessions  A S R=\frac{\text { \#accepted\_attack\_sessions }}{\# \text { attack\_sessions }} ASR=# attack_sessions  #accepted_attack_sessions 
    ​ 也就是攻击实现的比例

4.3 Study Protocol

  • Phase 0: IRB Approval

  • Phase I: Study Primer:

    • Introduction and Instructions:

      告知参与者实验在测试用户对Push-2FA的行为反应,不告知研究的真正目的。

      告知参与者,目标是完成登录步骤,并建议他们在决定接受还是拒绝登录请求之前,进行验证。

    • Account Creation:

      没有使用参与者的真实帐户,而是为参与者分配账户。

      建议参与者使用浏览器的“remember me”功能。

  • Phase II: Main Study:

    • Practice Trials:

      为了使参与者熟悉Push-2FA系统,要求其使用实验中的Push-2FA系统实施至少六次登录。

    • Study Task:

      每个参与者被要求执行32次登录,每次登录平均花费30秒。

  • Phase III: Post-Study Questionnaire

    • 通过问卷,了解参与者基本情况、2FA使用情况、实验过程感受(例如,是否察觉了可疑活动)

5. ANALYSIS AND RESULTS

5.1 The Benign Setting

总体BSR超过98.4%,说明参与者有能力正确使用Push-2FA模式
在这里插入图片描述

5.2 Attack Settings

在这里插入图片描述

  • Non-Spoof-Notif and Spoof-Notif

    • Spoof-Notif总体ASR较高,为98.7%达到了BSR的水平

      也就是用户几乎无法察觉到攻击

    • Non-Spoof-Notif总体ASR为68.2%

  • Login-Notif and Other-Notif

    • Login-Notif总体ASR为82.8%
    • Other-Notif总体ASR为85.1%

5.3 Response Time and Engagement Analysis

对参与者的响应时间和参与度(认真程度)进行分析

  • 响应时间:

    起点是 用户在网页端提交第一认证因素(即用户凭据)的时刻

    终点是 网页端收到登录认证结果的时间

  • 参与者在Attack Setting下,花费了更多的时间来完成身份验证过程

    Attack Setting下平均响应时间为13.98秒

    Benign Setting下平均响应时间为10.68秒

  • 这也说明了参与者保持了认真的态度,而不是随意地批准或拒绝 登录请求

5.4 User Survey Results

  • Demographics

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PruEgmDh-1646886506326)(images/image-20210712004938213.png)]

  • 2FA Related Questionnaire
    在这里插入图片描述在这里插入图片描述

  • Study-Specific Questionnaire
    在这里插入图片描述

  • Q5:50%的人说他们注意到可疑活动

  • Q7:95%的人说他们注意到 在一次登录尝试中出现了多个通知

  • Q8:关于多个通知的原因,42.1%的人表示不知道,36.8%的人认为是Push-2FA系统生成了多个通知,21.1%的人表示这是由于恶意活动引起的

  • Q10:关于通知中登录信息的验证,30%的人说他们经常验证,40%的人说他们有时验证,15%的人说他们从不验证
    在这里插入图片描述
    结论:许多参与者认为多个通知的出现,是2FA系统造成的(例如,由于网络故障造成的),而不是由安全问题引起的。

Jouzzy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
计算机系统安全学术会议评价与排行
白马负金羁
12-14 5130
综合了六大计算机安全学术会议排名,汇集了2022新版CCF推荐会议排名,清华大学计算机学科群推荐学术会议榜单,以及Google Scholar学术指标排名等,做系统安全研究的人应该尽快收藏
信息安全常用会议介绍
梦想闹钟
05-18 1385
贴一个学长给的收录信息安全常用文章的网站 https://secpaper.cn/ 从知乎看过来的关于信息安全类会议的排名 https://www.zhihu.com/answer/145831681 Security A 类: S&P, B类: NDSS, USENIX Security, CCS C类:AsiaCCS, PETS, CT-RSA 可以看到,默认的搜索选项除了上述几个外还有IMC,DSN等会议,不过国内关于这些会议的介绍比较少,这里先记录下这些会议的全称等,之后有更多了解之后再更新
计算机安全会议(学术界)概念普及 & ASIACCS2015会议总结(移动安全部分)
weixin_33910434的博客
03-08 2443
蒸米 · 2015/04/23 12:570x00 序ASIACCS 2015 全称为10th ACM Symposium on Information, Computer and Communications Security。因为ASIACCS在ACM还有个兄弟会议叫CCS (ACM Conference on Computer and Communications Security), 又因...
ccf等会议排行参考
沐阳的博客
11-16 1万+
ccf会议
密码学小知识(2):密码学三大顶会,信息安全四大顶会,网络与信息安全CCF推荐会议和期刊(2022年)
热门推荐
cryptocxf的博客
06-15 2万+
一、密码学三大顶会与分级 编号 会议简称 会议名称 出版社 会议网址 推荐等级 1 Crypto International Cryptology Conference Springer https://iacr.org/meetings/crypto/ A 2 Eurocrypt European Cryptology Conference Springer https://iacr.org/meetings/eurocrypt/ A 3 Asiacrypt Annual Inte
Biometrics-based Data Link Layer Anonymous Authentication in VANETs
02-10
Biometrics-based Data Link Layer Anonymous Authentication in VANETs
django-rest-framework-passwordless:Django REST Framework的无密码Auth
02-05
与DRF自己的TokenAuthentication系统配合使用时,它会向用户发送6位数的回调令牌到给定的电子邮件地址或手机号码。 用户将其正确发送回去,并获得了身份验证令牌(同样,由Django Rest Framework的Token...
On the security and improvement of a two-factor user authentication scheme in wireless sensor networks
02-21
User authentication is a basic security requirement during the deployment of the wireless sensor network (WSN), ...s scheme still suffers from the GW-node impersonation attack, the GW-node bypassing atta
django-two-factor-auth:完整的Django双重身份验证,可轻松集成到大多数Django项目中
02-05
`django-two-factor-auth` 是一个针对Django框架的强大的二次身份验证插件,旨在为用户账户提供额外的安全层。它通过引入基于电话、短信或应用令牌(如Google Authenticator)的验证机制,增强了传统的用户名和密码...
Laravel开发-laravel-two-factor-authentication
08-27
在终端中运行 `composer require spatie/laravel-two-factor-authentication` 来安装 "spatie/laravel-two-factor-authentication" 包。 2. **配置**:安装完成后,需要在 `config/two-factor-authentication.php` ...
PLI_TDC_for_CAN:“ PLI-TDC:用于车载网络的基于超精细延迟时间的物理层识别和时间数字转换器” ACM ASIACCS 2021
02-16
PLI-TDC:具有时间数字转换器的基于超精细延迟时间的物理层识别 @inproceedings{ohira2020pli-tdc, title={PLI-TDC: Super Fine Delay-Time Based Physical-Layer Identification with Time-to-Digital Converter for In-Vehicle Networks}, author={Ohira, Shuji and Kibrom Desta, Araya and Arai, Ismail and Fujikawa, Kazutoshi}, booktitle={Proceedings of the ACM Asia Conference on Computer and Communications Security (ASIACCS)}, pag
ASIACCS 2012论文
07-11
ASIACCS (ACM symposium on information,computer and communication security)是信息安全领域的顶会,希望对关注信息安全研究动态的各位朋友有所帮助。这些文章是本人手动下载和整理的,其中短文部分有几篇文章因为跟个人研究方向相差较远,所以没有下载包含其中!(zip格式压缩包,如果打不开就下载个快压,winrar应该都可以)
计算机安全方面的顶级会议 (2010年1月31日更新)
温研的专栏 (探索OS内核的奥秘)
05-21 1万+
Computer Security Conference Ranking and StatisticGuofei GuRankingNote: How to judge how good a conference is? In my opinion, here are several criteria: Acceptance ratio: definit
中国计算机学会推荐国际学术期刊&会议(网络/信息安全)
小小顽童
09-07 3024
一、A类序号刊物简称刊物全称出版社网址1.          TIFSIEEE Transactions on Information Forensics and Security IEEEhttp://www.ieee.org/organizations/society/sp/tifs.html2.          TDSCIEEE Transactions on Dependable and Secure ComputingIEEEhttp://www.computer.org/tdsc/3.    
2021计算机安全顶会排名
weixin_40965132的博客
06-24 746
会议排名参考HaveYouTall根据System Security Circus 2019整理的榜单,投稿截止日参考WikiCFP。 会议 2021/2022年投稿截止日 IEEE S&P Aug 19, 2021 (2nd Cycle) / Dec 2, 2021 (3nd Cycle) ACM CCS May 6, 2021 (2nd Cycle) USENIX Sec Jun 8, 2021 NDSS Jul 31, 2020 ACM AsiaCCS Aug
2021年 软件工程 顶级会议 截稿时间
CS_Conferences的博客
02-16 2714
更多会议截稿信息,期刊Special Issue,以及盛会的讨论qun,请移步gzh查看。 ​以上为未来三个月已公布截稿日期的CCF推荐,软件工程领域会议,按照时间排序。 个别会议因为没有公布截稿信息而不在所列时间线内。 录取率信息为网络上可获得的最近年份数据,不一定是上一年的,文中尽量选择同时带有投稿量的数据年份供大家参考. Core Ranking会排除Not primarily CS,regional或者是national的会议,个别未上榜会议不代表会议水平差。 具体列表如下: ..
你引导过一个窘迫的会议吗?
weixin_50483789的博客
05-18 399
图:史江鸿 天下味2016年刚加入ThoughtWorks的第一天,正巧赶上项目的回顾会议会议一开始,项目经理就指着我说,“新加入的小伙伴来给咱们做Facilitator吧!”“Fa...
更新weibo sdk(去掉so以适配Android 15的16K Page Size的版本)记录
piggy514的博客
07-18 274
解决:据此提示判断weibo sdk使用了androidx;我的工程很懒,一般只更新业务代码,但既然要用weibo sdk,所以也必须把那些import android.support.改为使用androidx了。解决:意即 minSdkVersion 至少26,所以要修改各模块build.gradle里的minSdkVersion。解决:修改各模块build.gradle里的compileSdkVersion的值,至少34。解决:在模块build.gradle的android {} 里增加。
Android 10.0 蓝牙音乐获取歌手、歌曲等信息功能实现
最新发布
安卓兼职framework和app工程师的博客
07-22 1457
在10.0的系统rom定制化开发中,在一些功能性开发中,可能会遇到一些蓝牙音乐的项目,所以会要求在手机端获取 蓝牙音乐的歌手歌曲的信息功能,这就需要了解Bluetooth的音乐播放功能,然后实现这些获取歌手信息和歌曲详情的功能
Neuromuscular Password-Based User Authentication
03-13
Neuromuscular Password-Based User Authentication(神经肌肉密码用户认证)是一种基于生物特征的身份验证方法,它利用了人体神经肌肉系统的特性来验证用户的身份。该方法通过监测用户在输入密码时的神经肌肉反应,来判断是否为合法用户。 具体来说,Neuromuscular Password-Based User Authentication使用了肌电图(EMG)信号和脑电图(EEG)信号来获取用户的生物特征信息。当用户输入密码时,系统会记录下相应的神经肌肉反应,并与预先录制的合法用户的反应进行比对。如果两者匹配,则认证成功。 这种身份验证方法具有一定的优势,例如: 1. 生物特征唯一性:每个人的神经肌肉反应都是独特的,因此可以有效地区分不同的用户。 2. 难以伪造:与传统的密码认证相比,神经肌肉反应很难被模仿或伪造。 3. 高安全性:由于使用了生物特征信息,该方法可以提供更高的安全性,减少了密码泄露和盗用的风险。 然而,Neuromuscular Password-Based User Authentication也存在一些挑战和限制: 1. 设备依赖性:该方法需要使用专门的设备来采集和分析神经肌肉反应,增加了实施的成本和复杂性。 2. 用户接受度:由于需要用户配合进行生物特征采集,可能会引起一些用户的隐私和安全担忧,降低用户的接受度。 3. 可靠性和误识别率:神经肌肉反应受到多种因素的影响,如情绪、疲劳等,可能导致认证的准确性和可靠性有所下降。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值