Berta Sándor
Gépeléselemzéssel ötvözött jelszavas védelem
A Deutsche Telekom kutatólaboratóriumának munkatársai olyan szoftvert fejlesztettek ki, amely biztonságosabbá teheti a jelszavak használatát és új szintre emelheti a jelszavakra épülő védelmeket.
A DT azonosítóeljárási projekt keretében létrehozott megoldás lényege, hogy a felhasználók gépelését elemzi ki és ennek segítségével próbálja megállapítani, hogy valóban az gépeli-e be a jelszót, akihez tartozik. A kutatók azt állítják, hogy minden felhasználónak jellegzetes a gépelése, így ez a minta gyakorlatilag egy digitális ujjlenyomatként is felfogható.
"A legnagyobb problémát az jelenti ezen a területen, hogy a felhasználók nagyon kényelmesek" - közölte Niklas Kirschnik, a Berlini Műszaki Egyetem T-Labs részlegének kutatója, aki a hagyományos jelszavas védelmeken túlmutató különböző azonosítási eljárásokkal foglalkozik. A férfi az izraeli Ben Gurion Egyetem dolgozó kollégáival közösen fejlesztette ki azt az új módszert, amely a gépelést állítja a középpontba. "Mindenkinek egyedi gépelése van, amit gyakorlatilag ujjlenyomatként lehet hozzárendelni" - tette hozzá a szakember. Hiába szerzi meg tehát egy bűnöző valakinek a jelszavát, a megfelelő gépelési szokás hiányában azzal semmit sem tud kezdeni, a szoftver azonnal felismeri, hogy bár az azonosító ugyanaz, de az azt beíró személy más.
"Az eltérések valójában a másodperc tört része alatt figyelhetők meg. Emberi szemmel ezeket a dolgokat nem lehet érzékelni, de ettől még ott vannak. A rendszer kielemzi az egyes billentyűleütéseket és azt is feljegyzi, hogy melyik billentyűt mennyi ideig tartja lenyomva az illető. A helyes felismeréshez szükség van a program edzésére. Mindössze tíz szövegbeírás után az alkalmazás már képes pontosan felismerni egy személy gépelését. A megoldás jelenleg böngészőkiegészítőként érhető el, de vállalatok számára már készül a külön szoftverként telepíthető változata" - mondta Kirschnik.
Az új védelem akár más programokkal közösen, akár önállóan is alkalmazható. Emellett alkalmas annak felismerésére is, hogy a jelszót begépelő felhasználó józan-e, esetleg drogbefolyás alatt áll. Előnye, hogy rendkívül egyszerűen használható, nem kell hozzá semmilyen különleges ismeret, a felhasználónak csak annyi a dolga, mint eddig is: gépeljen. A hátránya viszont, hogy egyelőre még nem képes megkülönböztetni a valódi és a virtuális billentyűzetek használatát. A kutatók mindenesetre már egy új változaton dolgoznak, amelynél nem a jelszót kell beütni, hanem egy listán szereplő szavakat. Egy másik projekt célja pedig a felhasználók egérhasználatát tanulmányozza és ennek alapján kínálna majd biztonsági megoldást.
A DT azonosítóeljárási projekt keretében létrehozott megoldás lényege, hogy a felhasználók gépelését elemzi ki és ennek segítségével próbálja megállapítani, hogy valóban az gépeli-e be a jelszót, akihez tartozik. A kutatók azt állítják, hogy minden felhasználónak jellegzetes a gépelése, így ez a minta gyakorlatilag egy digitális ujjlenyomatként is felfogható.
"A legnagyobb problémát az jelenti ezen a területen, hogy a felhasználók nagyon kényelmesek" - közölte Niklas Kirschnik, a Berlini Műszaki Egyetem T-Labs részlegének kutatója, aki a hagyományos jelszavas védelmeken túlmutató különböző azonosítási eljárásokkal foglalkozik. A férfi az izraeli Ben Gurion Egyetem dolgozó kollégáival közösen fejlesztette ki azt az új módszert, amely a gépelést állítja a középpontba. "Mindenkinek egyedi gépelése van, amit gyakorlatilag ujjlenyomatként lehet hozzárendelni" - tette hozzá a szakember. Hiába szerzi meg tehát egy bűnöző valakinek a jelszavát, a megfelelő gépelési szokás hiányában azzal semmit sem tud kezdeni, a szoftver azonnal felismeri, hogy bár az azonosító ugyanaz, de az azt beíró személy más.
"Az eltérések valójában a másodperc tört része alatt figyelhetők meg. Emberi szemmel ezeket a dolgokat nem lehet érzékelni, de ettől még ott vannak. A rendszer kielemzi az egyes billentyűleütéseket és azt is feljegyzi, hogy melyik billentyűt mennyi ideig tartja lenyomva az illető. A helyes felismeréshez szükség van a program edzésére. Mindössze tíz szövegbeírás után az alkalmazás már képes pontosan felismerni egy személy gépelését. A megoldás jelenleg böngészőkiegészítőként érhető el, de vállalatok számára már készül a külön szoftverként telepíthető változata" - mondta Kirschnik.
Az új védelem akár más programokkal közösen, akár önállóan is alkalmazható. Emellett alkalmas annak felismerésére is, hogy a jelszót begépelő felhasználó józan-e, esetleg drogbefolyás alatt áll. Előnye, hogy rendkívül egyszerűen használható, nem kell hozzá semmilyen különleges ismeret, a felhasználónak csak annyi a dolga, mint eddig is: gépeljen. A hátránya viszont, hogy egyelőre még nem képes megkülönböztetni a valódi és a virtuális billentyűzetek használatát. A kutatók mindenesetre már egy új változaton dolgoznak, amelynél nem a jelszót kell beütni, hanem egy listán szereplő szavakat. Egy másik projekt célja pedig a felhasználók egérhasználatát tanulmányozza és ennek alapján kínálna majd biztonsági megoldást.