Autenticação não-invasiva para transações financeiras hands-free em locais conectados confiáveis

Assistentes pessoais em dispositivos móveis e smart speakers permitem transações financeiras sem o uso das mãos por comandos de voz. Mesmo que essas transações de voz sejam úteis para os usuários finais em ambientes conectados confiáveis, elas são suscetíveis a ataques típicos a protocolos de autenticação (e.g., ataque de replay). O uso da autenticação tradicional baseada em conhecimento ou posse de dispositivo confiável com interações invasivas adicionais prejudica a usabilidade. Soluções propostas na literatura com dispositivos confiáveis usam Funções Físicas Não-Clonáveis (PUF) com processos de cadastramento complexo. É proposto um mecanismo de autenticação não-invasivo com protocolo desafio-resposta com um dispositivo autônomo IoT confiável integrado com o comportamento de um local conectado confiável para autenticação continuada. O protocolo desafio-resposta foi validado por meio de provas formais de segurança com a lógica Burrows-Abadi-Needham e ferramenta Scyther. Uma prova de conceito com websockets apresentou um tempo médio de resposta de 383ms para autenticação mútua usando um protocolo de 6 mensagens com um processo de cadastro simples. Realizamos o reconhecimento de atividades sem o uso das mãos de um usuário específico com base em dados de uma casa inteligente de dois meses, obtendo uma acurácia de 97% e uma revocação de 81%. Dado o princípio de privacidade de minimização de dados, é possível reduzir o número total de séries temporais de eventos de casa inteligente de 7 para 5. Quando comparado às soluções invasivas existentes, o mecanismo não invasivo proposto contribui para aprimorar a usabilidade dos assistentes virtuais das instituições financeiras, ao mesmo tempo que mantêm a segurança e a privacidade do usuário.