Pengenalan Preferensi Estetika sebagai Faktor Autentikasi Potensial

Sebuah makalah baru dari Israel telah mengusulkan skema autentikasi berdasarkan preferensi estetika pengguna, di mana pengguna mengkalibrasi sistem satu kali dengan memberi peringkat pada gambar, sehingga menghasilkan ‘domain’ pribadi dari kecenderungan visual dan visual/konseptual individu tersebut. Nantinya, pengguna akan ditantang pada saat autentikasi untuk mencocokkan preferensi yang tercatat mereka dengan set gambar baru.

Dari uji coba implementasi AEbA yang ‘digamekan’ – kiri, pengguna memberi peringkat kualitas estetika sebuah gambar; kanan, skor ditampilkan di akhir sebuah tahap dalam fase aplikasi aktif dari uji coba . Sumber: https://arxiv.org/ftp/arxiv/papers/2204/2204.05623.pdf

Sistem ini diberi judul Aesthetic Evaluation-based Authentication (AEbA) , dan merupakan kiriman untuk Konferensi Teknis Tahunan USENIX 2022 di California pada bulan Juli. AEbA diuji coba oleh peneliti makalah dalam bentuk seri permainan, di mana peserta diharuskan untuk melatih sistem dan kemudian memberi peringkat gambar baru yang sesuai dengan selera terdaftar mereka. Putaran kedua pengujian menguji kemampuan pengguna untuk menebak preferensi orang lain.

Dari makalah – contoh gambar, dari pexels.com, cocok untuk digunakan dalam AEbA.

Pendekatan seperti ini mungkin tidak cocok untuk semua orang, karena tidak semua orang memiliki kepekaan estetika yang berkembang dengan baik, tetapi dapat berfungsi dengan baik baik sebagai skema autentikasi utama untuk persyaratan keamanan rendah-sedang, atau sebagai salah satu pilihan dalam berbagai metode tambahan yang mungkin dalam autentikasi dua faktor (2FA). Namun, ide awal dari sistem ini dapat membentuk titik awal untuk sistem tantangan berbasis estetika yang lebih kompleks, karena jumlah gambar yang disajikan kepada pengguna selama autentikasi dapat ditingkatkan secara default sesuai kebutuhan, dengan cara yang sama seperti tantangan CAPTCHA dapat diperpanjang jika hasil awal tidak pasti. Semakin granular dan diperpanjang tantangannya, semakin tinggi keamanan yang dapat ditawarkan oleh pendekatan semacam ini.

Skala kekuatan kata sandi relatif ketika beberapa faktor dari tantangan AEbA berlipat ganda: ‘D’ mewakili jumlah gambar yang ditampilkan selama tantangan; Dhr mewakili jumlah gambar yang harus dipilih pengguna; dan ‘S’ adalah jumlah layar (yaitu tahapan) dalam proses linier seleksi estetika.

Dalam hal konvensi umum untuk autentikasi manusia, AEbA menggabungkan elemen Sesuatu yang Anda ketahui (SYK) dan Sesuatu yang Anda adalah (SYA)., dan didasarkan pada tiga premis: bahwa hal-hal yang kita sukai (seperti yang direpresentasikan dalam ranah visual) mudah dibedakan bagi kita (sesuai dengan teori umum mnemonik); selera estetika kita tetap relatif konsisten; dan bahwa ada perbedaan yang memadai dalam selera pengguna yang beragam untuk memberikan perbedaan preferensi yang tidak dapat ditebak. Para penulis menyarankan bahwa teknik ini dapat diadaptasi ke dalam kerangka kerja pembelajaran mesin yang mampu memprediksi evaluasi pengguna individu. Makalah ini berjudul Beautiful secrets: using aesthetic images to authenticate users, dan berasal dari dua peneliti di fakultas Teknik Perangkat Lunak dan Sistem Informasi di Universitas Ben-Gurion Negev di Beersheba.

Kekuatan Domain Gambar

AEbA tidak bergantung pada hafalan, melainkan memperlakukan pengguna akhir sebagai sistem pengenalan gambar terlatih yang telah mengembangkan rentang respons kesenangan yang kuat dan sangat spesifik, dan mengunci pada asosiasi kesenangan yang sangat kuat ini. Pada dasarnya, AEbA bergantung pada padanan manusia dari prior abstrak dalam sistem visi komputer dan sintesis gambar, yang dapat menyampaikan gaya dan fitur spesifik domain tanpa diwujudkan dalam satu gambar yang tunggal dan tidak berubah. Melalui penerapan prior seperti itulah Jaringan Adversarial Generatif (GAN) dapat dilatih untuk memasukkan sebuah domain (misalnya ‘Van Gogh’) ke dalam pembuatan gambar yang sepenuhnya baru. Studi baru ini mengemukakan bukti dalam literatur sebelumnya bahwa gambar lebih mudah diingat daripada kata-kata, bahwa gambar yang menyenangkan lebih mudah diingat daripada gambar umum, dan bahwa evaluasi aktif terhadap gambar (seperti selama proses pelatihan AEbA singkat) meningkatkan keteringatan gambar lebih jauh lagi. Studi yang berasal dari tahun 1970-an telah menetapkan bahwa manusia memiliki ‘kapasitas penyimpanan masif’ untuk gambar secara umum, dan untuk gambar yang telah dilihat sebelumnya, dan kemampuan kita untuk memasukkan gambar ke dalam memori telah ditunjukkan untuk secara signifikan melampaui kapasitas kita untuk memori verbal. Meskipun akal sehat menunjukkan bahwa ahli domain, seperti ahli radiologi, akan paling sensitif terhadap gambar dari domain mereka sendiri, sebuah studi 2010 telah menegaskan bahwa kapasitas memori untuk citra sehari-hari jauh lebih besar daripada untuk citra spesifik domain, bahkan pada mereka yang memiliki ‘spesialisasi’ visual.

Autentikasi Berbasis Preferensi

Gagasan memanfaatkan preferensi sebagai mekanisme autentikasi menjadi terkenal dalam dua makalah yang dipimpin oleh Markus Jakobsson dari Palo Alto Research Center, mulai tahun 2008. Kumpulan penelitian seputar Autentikasi Berbasis Preferensi (PBA) ini menyarankan bahwa musik, makanan, karya seni, dan hal-hal lain yang kita sukai tertanam dalam pikiran kita dan didorong oleh motivasi internal yang kuat. PBA awalnya hanya disarankan sebagai alat untuk memfasilitasi pengaturan ulang kata sandi, menggunakan pertanyaan seperti ‘Apakah Anda menyukai musik country?’, dan berkonsentrasi pada preferensi berbasis teks sesuai prinsip mnemonik tradisional, daripada input visual. Sebuah kolaborasi berikutnya dari Jakobsson pada tahun 2012 menggantikan teks dengan gambar:

Tangkapan layar dari fase kalibrasi/pendaftaran proyek PBA Markus Jakobsson 2012. Sumber

Namun, para penulis mencatat, skema ini tidak memperhitungkan evaluasi estetika dari gambar, tetapi pada dasarnya menggunakan gambar sebagai proksi untuk kata-kata atau konsep. Sebaliknya, AEbA berusaha untuk mengungkap ‘domain kesenangan’ spesifik pengguna yang tidak terkait langsung dengan hal atau aktivitas tertentu. Para penulis makalah baru juga mengamati bahwa ada batasan praktis pada jumlah item yang dapat disajikan kepada penonton di bawah pendekatan 2012, sedangkan mengembangkan model preferensi pengguna yang lebih abstrak menghilangkan batasan ini dan membuat serangan eksternal dan peniruan (misalnya berdasarkan phishing, pengetahuan pribadi, atau metode tipu daya lainnya) menjadi jauh lebih sulit. Gagasan kata sandi grafis secara signifikan mendahului karya ini, dengan proliferasi skema yang muncul pada akhir 1990-an. Sebuah studi kontemporer mempertimbangkan PassFaces, di mana pengguna harus menghafal wajah (selain wajah mereka sendiri) daripada kata sandi. Dengan pendekatan ini, seorang penyusup potensial secara teoritis membutuhkan pengetahuan domain yang sangat intim tentang preferensi wajah pengguna. Selain itu, pengguna dapat diandalkan untuk memilih wajah yang sama dari waktu ke waktu selama fase orientasi.

Dari akhir 1990-an, skema PassFaces yang diuji coba di Universitas Goldsmiths London mengharuskan pengguna untuk memilih dan menghafal empat wajah orang lain. Pilihan awal didasarkan pada preferensi pengguna sendiri, dan dalam hal ini karya ini terkait dengan AEbA. Sumber

Yang paling erat kaitannya dengan AEbA adalah Déjà vu, yang menyajikan gambar seni acak kepada penonton yang tidak dirancang untuk melibatkan respons kesenangan, tetapi bermaksud menggunakan citra yang mengejutkan dan tidak selaras untuk membantu pengguna menghafal gambar spesifik yang akan mereka masukkan ke dalam ‘portofolio’ selama pendaftaran awal, dan nantinya diharuskan untuk mengenali dari beberapa kemungkinan gambar pada saat autentikasi.

Merakit portofolio gambar ‘pilihan’ untuk Déjà vu. Sumber: https://netsec.ethz.ch/publications/papers/usenix.pdf

Sebagaimana diamati penulis makalah baru, pendekatan ini mengabaikan manfaat yang diuraikan dalam literatur neuroestetika (yaitu ada sedikit motivasi internal untuk terhubung dengan gambar apa pun yang ditawarkan). Selain itu, metode seperti itu rentan terhadap ‘shoulder-surfing’, di mana penyerang terdekat (atau MiTM) mungkin memiliki kesempatan untuk menyaksikan gambar mana yang dipilih. Sebaliknya, implementasi penuh AEbA tidak akan mengulang gambar yang sebelumnya digunakan baik dalam sesi pelatihan maupun autentikasi. Selain itu, makalah mencatat*:

‘Salah satu masalah yang diidentifikasi dalam kata sandi grafis adalah bahwa, seperti dalam kata sandi biasa, pengguna cenderung memilih gambar sederhana, yang mengurangi variabilitas kata sandi tersebut dan membuatnya lebih rentan terhadap serangan lawan. Masalah lain (dan mungkin alasan untuk yang sebelumnya) adalah potensi interferensi jika skema semacam itu digunakan di beberapa sistem, yaitu, memori pengguna tentang kata sandi untuk satu sistem mengganggu memori mereka tentang kata sandi untuk sistem lain. Masalah-masalah ini kurang menjadi perhatian ketika menerapkan AEbA, yang bergantung pada preferensi bawaan yang tidak bergantung pada akun tertentu atau pada menghafal gambar.’