Autenticação não-invasiva para transações financeiras hands-free em locais conectados confiáveis

Anais Estendidos do XXII Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg Estendido 2022) Pub Date : 2022-09-12 DOI:10.5753/sbseg_estendido.2022.224687

V. Hayashi, W. V. Ruggiero

{"title":"Autenticação não-invasiva para transações financeiras hands-free em locais conectados confiáveis","authors":"V. Hayashi, W. V. Ruggiero","doi":"10.5753/sbseg_estendido.2022.224687","DOIUrl":null,"url":null,"abstract":"Assistentes pessoais em dispositivos móveis e smart speakers permitem transações financeiras sem o uso das mãos por comandos de voz. Mesmo que essas transações de voz sejam úteis para os usuários finais em ambientes conectados confiáveis, elas são suscetíveis a ataques típicos a protocolos de autenticação (e.g., ataque de replay). O uso da autenticação tradicional baseada em conhecimento ou posse de dispositivo confiável com interações invasivas adicionais prejudica a usabilidade. Soluções propostas na literatura com dispositivos confiáveis usam Funções Físicas Não-Clonáveis (PUF) com processos de cadastramento complexo. É proposto um mecanismo de autenticação não-invasivo com protocolo desafio-resposta com um dispositivo autônomo IoT confiável integrado com o comportamento de um local conectado confiável para autenticação continuada. O protocolo desafio-resposta foi validado por meio de provas formais de segurança com a lógica Burrows-Abadi-Needham e ferramenta Scyther. Uma prova de conceito com websockets apresentou um tempo médio de resposta de 383ms para autenticação mútua usando um protocolo de 6 mensagens com um processo de cadastro simples. Realizamos o reconhecimento de atividades sem o uso das mãos de um usuário específico com base em dados de uma casa inteligente de dois meses, obtendo uma acurácia de 97% e uma revocação de 81%. Dado o princípio de privacidade de minimização de dados, é possível reduzir o número total de séries temporais de eventos de casa inteligente de 7 para 5. Quando comparado às soluções invasivas existentes, o mecanismo não invasivo proposto contribui para aprimorar a usabilidade dos assistentes virtuais das instituições financeiras, ao mesmo tempo que mantêm a segurança e a privacidade do usuário.","PeriodicalId":122948,"journal":{"name":"Anais Estendidos do XXII Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg Estendido 2022)","volume":"1 1","pages":"0"},"PeriodicalIF":0.0000,"publicationDate":"2022-09-12","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":"0","resultStr":null,"platform":"Semanticscholar","paperid":null,"PeriodicalName":"Anais Estendidos do XXII Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg Estendido 2022)","FirstCategoryId":"1085","ListUrlMain":"https://doi.org/10.5753/sbseg_estendido.2022.224687","RegionNum":0,"RegionCategory":null,"ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":null,"EPubDate":"","PubModel":"","JCR":"","JCRName":"","Score":null,"Total":0}

引用次数: 0

Abstract

Assistentes pessoais em dispositivos móveis e smart speakers permitem transações financeiras sem o uso das mãos por comandos de voz. Mesmo que essas transações de voz sejam úteis para os usuários finais em ambientes conectados confiáveis, elas são suscetíveis a ataques típicos a protocolos de autenticação (e.g., ataque de replay). O uso da autenticação tradicional baseada em conhecimento ou posse de dispositivo confiável com interações invasivas adicionais prejudica a usabilidade. Soluções propostas na literatura com dispositivos confiáveis usam Funções Físicas Não-Clonáveis (PUF) com processos de cadastramento complexo. É proposto um mecanismo de autenticação não-invasivo com protocolo desafio-resposta com um dispositivo autônomo IoT confiável integrado com o comportamento de um local conectado confiável para autenticação continuada. O protocolo desafio-resposta foi validado por meio de provas formais de segurança com a lógica Burrows-Abadi-Needham e ferramenta Scyther. Uma prova de conceito com websockets apresentou um tempo médio de resposta de 383ms para autenticação mútua usando um protocolo de 6 mensagens com um processo de cadastro simples. Realizamos o reconhecimento de atividades sem o uso das mãos de um usuário específico com base em dados de uma casa inteligente de dois meses, obtendo uma acurácia de 97% e uma revocação de 81%. Dado o princípio de privacidade de minimização de dados, é possível reduzir o número total de séries temporais de eventos de casa inteligente de 7 para 5. Quando comparado às soluções invasivas existentes, o mecanismo não invasivo proposto contribui para aprimorar a usabilidade dos assistentes virtuais das instituições financeiras, ao mesmo tempo que mantêm a segurança e a privacidade do usuário.

查看原文本刊更多论文

在可信的连接地点进行免提金融交易的非侵入性认证

移动设备上的个人助理和智能扬声器可以通过语音命令实现免提金融交易。尽管这些语音交易对可信连接环境中的终端用户很有用，但它们很容易受到典型的身份验证协议攻击(如重放攻击)。使用传统的基于知识的身份验证或拥有具有额外侵入性交互的可靠设备会损害可用性。文献中提出的解决方案使用了具有复杂注册过程的不可克隆物理函数(PUF)。提出了一种具有挑战-响应协议的非侵入性认证机制，该机制将自主可信物联网设备与可信连接位置的行为集成在一起，用于持续认证。通过Burrows-Abadi-Needham逻辑和Scyther工具的正式安全证明，验证了挑战-响应协议。使用websockets进行的概念验证显示，使用6消息协议和简单的注册过程进行相互认证的平均响应时间为383毫秒。我们基于两个月的智能家居数据，在不使用特定用户手的情况下对活动进行识别，准确率为97%，回收率为81%。考虑到数据最小化隐私原则，智能家居事件的总时间序列可以从7个减少到5个。与现有的侵入性解决方案相比，提出的非侵入性机制有助于提高金融机构虚拟助理的可用性，同时维护用户的安全和隐私。

本文章由计算机程序翻译，如有差异，请以英文原文为准。

求助全文

约1分钟内获得全文求助全文

来源期刊

Anais Estendidos do XXII Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg Estendido 2022)

自引率

0.00%

发文量