კიბერ უსაფრთხოება
ესთეტიკური უპირატესობის აღიარება, როგორც პოტენციური ავთენტიფიკაციის ფაქტორი
ისრაელის ახალმა ნაშრომმა შესთავაზა ავტორიზაციის სქემა მომხმარებლის ესთეტიკურ პრეფერენციებზე დაფუძნებული, სადაც მომხმარებელი ახდენს სისტემის დაკალიბრებას ერთხელ სურათების შეფასებით, რითაც წარმოქმნის ამ ინდივიდის ვიზუალური და ვიზუალური/კონცეპტუალური მიდრეკილებების კერძო „დომენს“. მოგვიანებით, მომხმარებელს დაუპირისპირდება ავტორიზაციის დროს, რათა შეესაბამებოდეს მათი ჩაწერილი პრეფერენციები ახალი სურათების კომპლექტებს.
AEbA-ს "თამაშის მიხედვით" განხორციელების საცდელებიდან - მარცხნივ, მომხმარებელი აფასებს სურათის ესთეტიკურ ხარისხს; მართალია, ქულა გაიცემა საცდელების აქტიური განაცხადის ფაზის ეტაპის ბოლოს. წყარო: https://arxiv.org/ftp/arxiv/papers/2204/2204.05623.pdf
სისტემა დასახელებულია ესთეტიკურ შეფასებაზე დაფუძნებული ავთენტიფიკაცია (AEbA) და წარდგენილია 2022 წლის USENIX-ის ყოველწლიურ ტექნიკურ კონფერენციაზე კალიფორნიაში ივლისში.
AEbA გამოსცადეს ნაშრომის მკვლევარებმა თამაშის სერიის სახით, სადაც მონაწილეებს მოეთხოვებოდათ სისტემის მომზადება და შემდეგ შეაფასონ ახალი სურათები, რომლებიც შეესაბამებოდა მათ რეგისტრირებულ გემოვნებას. ტესტების მეორე რაუნდმა გამოიკვლია მომხმარებლის უნარი, გამოიცნოს სხვების პრეფერენციები.
ქაღალდიდან – სურათების ნიმუში, pexels.com-დან, შესაფერისი AEbA-ში გამოსაყენებლად.
ასეთი მიდგომა შეიძლება არ იყოს შესაფერისი ყველა ადამიანისთვის, რადგან ყველას არ აქვს კარგად განვითარებული ესთეტიკური მგრძნობელობა, მაგრამ შეიძლება კარგად გამოვიდეს როგორც პირველადი ავთენტიფიკაციის სქემა დაბალ-საშუალო უსაფრთხოების მოთხოვნებისთვის, ან როგორც ერთ-ერთი არჩევანი შესაძლო დამხმარე მეთოდებში. ორფაქტორიან ავთენტიფიკაციაში (2FA).
თუმცა, სისტემის ახალმა იდეამ შეიძლება შექმნას საწყისი წერტილი უფრო რთული ესთეტიკაზე დაფუძნებული გამოწვევების სისტემებისთვის, რადგან ავტორიზაციის დროს მომხმარებლებისთვის წარდგენილი სურათების რაოდენობა შეიძლება სტანდარტულად გაიზარდოს საჭიროებისამებრ, ისევე როგორც CAPTCHA გამოწვევებს. გაგრძელდება გაურკვეველი საწყისი შედეგების შემთხვევაში.
რაც უფრო გრანდიოზული და გაფართოებული გამოწვევაა, მით უფრო მაღალი იქნება ასეთი მიდგომის უსაფრთხოება.
პაროლის ფარდობითი სიძლიერის მასშტაბი, როდესაც AEbA გამოწვევის რამდენიმე ფაქტორი მრავლდება: 'D' წარმოადგენს გამოწვევის დროს ნაჩვენები სურათების რაოდენობას; Dhr წარმოადგენს სურათების რაოდენობას, რომელთა არჩევა მოეთხოვება მომხმარებელს; და 'S' არის ეკრანების (ანუ ეტაპების) რაოდენობა ესთეტიკური შერჩევის ხაზოვანი პროცესში.
თვალსაზრისით საერთო კონვენციები ადამიანის ავთენტიფიკაციისთვის, AEbA აერთიანებს ელემენტებს რაღაც იცი (SYK) და რაღაც შენ ხარ (SYA)., და დაფუძნებულია სამ წინაპირობაზე: რომ ის, რაც მოგვწონს (როგორც წარმოდგენილია ვიზუალურ სფეროში) ჩვენთვის ადვილად გასარჩევია (მნემონიკის ზოგადი თეორიის შესაბამისად); ჩვენი ესთეტიკური გემოვნება შედარებით თანმიმდევრული რჩება; და რომ არსებობს ადეკვატური განსხვავება სხვადასხვა მომხმარებელთა გემოვნებაში, რათა უზრუნველყოს პრეფერენციებში დაუჯერებელი განსხვავება.
ავტორები ვარაუდობენ, რომ ტექნიკა შეიძლება ადაპტირებული იყოს მანქანური სწავლების ჩარჩოებში, რომლებსაც შეუძლიათ ინდივიდუალური მომხმარებლების შეფასებების პროგნოზირება.
ის ქაღალდი სახელდება მშვენიერი საიდუმლოებები: ესთეტიკური სურათების გამოყენება მომხმარებლების ავთენტიფიკაციისთვისდა მომდინარეობს ორი მკვლევრისგან პროგრამული და საინფორმაციო სისტემების ინჟინერიის ფაკულტეტზე ბენ-გურიონის უნივერსიტეტის ნეგევის ბეერშებაში.
გამოსახულების დომენების ძალა
AEbA არ ეყრდნობა დამახსოვრებას, არამედ განიხილავს საბოლოო მომხმარებელს, როგორც გაწვრთნილ გამოსახულების ამოცნობის სისტემას, რომელმაც შეიმუშავა სიამოვნების პასუხების მძლავრი და ძალიან სპეციფიკური დიაპაზონი და აძლიერებს ამ ძალიან ძლიერ პასუხებს. სიამოვნების ასოციაციები.
არსებითად, AEbA დამოკიდებულია ადამიანის ეკვივალენტზე აბსტრაქტული პრიორები კომპიუტერულ ხედვასა და გამოსახულების სინთეზის სისტემებში, რომლებსაც შეუძლიათ სტილისა და დომენის სპეციფიკური მახასიათებლების გადმოცემა ერთ და უცვლელ სურათში განსახიერების გარეშე. სწორედ ასეთი პრიორიტეტების გამოყენებით შეიძლება გაიზარდოს გენერაციული წინააღმდეგობის ქსელი (GAN) დომენის ჩართვისთვის (ანუ "ვან გოგი") სხვაგვარად სრულიად ახალი სურათების გენერაციაში.
ახალი კვლევა ამტკიცებს წინა ლიტერატურაში, რომ სურათები უფრო ადვილად დასამახსოვრებელია, ვიდრე სიტყვები, სასიამოვნო სურათები უფრო ადვილი დასამახსოვრებელია, ვიდრე ზოგადი სურათები და რომ სურათების აქტიური შეფასება (როგორიცაა მოკლე AEbA სასწავლო პროცესის დროს) აუმჯობესებს სურათების დასამახსოვრებელსაც კი. უფრო. კვლევები დაბრუნება 1970-იან წლებში დაადგინეს, რომ ადამიანებს აქვთ "მასიური შენახვის ტევადობა" გამოსახულების ზოგადად და ადრე ნანახი სურათებისთვის, და ჩვენი უნარი, ჩავრთოთ სურათები მეხსიერებაში. აჩვენა to კერძოდ გაუსწრო ვერბალური მეხსიერების ჩვენი უნარი.
მიუხედავად იმისა, რომ საღი აზრი ვარაუდობს, რომ დომენის ექსპერტები, როგორიცაა რადიოლოგები, ყველაზე მგრძნობიარენი იქნებიან საკუთარი დომენის სურათების მიმართ, 2010 study ამტკიცებდა, რომ ყოველდღიური გამოსახულების მეხსიერების მოცულობა ბევრად უფრო დიდია, ვიდრე დომენის სპეციფიკური გამოსახულების, თუნდაც ვიზუალური "სპეციალობის" მქონე ადამიანებში.
პრეფერენციებზე დაფუძნებული ავთენტიფიკაცია
პრიორიტეტების, როგორც ავტორიზაციის მექანიზმის გამოყენების ცნება ცნობილი გახდა ორ ნაშრომში, რომელსაც ხელმძღვანელობდა მარკუს იაკობსონი პალო ალტოს კვლევითი ცენტრიდან, 2008 წლიდან. პრეფერენციებზე დაფუძნებული ავთენტიფიკაციის (PBA) კვლევის ამ ტრანშმა აჩვენა, რომ მუსიკა, საკვები, ნამუშევრები და სხვა რამ, რაც ჩვენ მოგვწონს, არის ჩადებული ჩვენს გონებაში და იკვებება ძლიერი შინაგანი მოტივებით.
PBA თავდაპირველად შემოგვთავაზეს მხოლოდ როგორც მოწყობილობა პაროლის გადატვირთვის გასაადვილებლად, ისეთი კითხვების გამოყენებით, როგორიცაა „მოგწონს ქანთრი მუსიკა?“ და კონცენტრირებული იყო ტექსტზე დაფუძნებულ პრეფერენციებზე ტრადიციულ მნემონიკურ პრინციპებზე და არა ვიზუალურ შეყვანაზე.
A შემდგომი თანამშრომლობა იაკობსონისგან 2012 წელს შეცვალა ტექსტი სურათებით:
ეკრანის კადრი Markus Jakobsson 2012 PBA პროექტის კალიბრაციის/რეგისტრაციის ფაზიდან. წყარო
თუმცა, ავტორები აღნიშნავენ, რომ ეს სქემა არ ითვალისწინებს სურათების ესთეტიკურ შეფასებას, მაგრამ ფაქტობრივად იყენებს სურათებს, როგორც სიტყვების ან ცნებების მარიონეტებს. ამის საპირისპიროდ, AEbA ცდილობს გაარკვიოს მომხმარებლისთვის სპეციფიკური "სიამოვნების დომენი", რომელიც პირდაპირ არ არის დაკავშირებული კონკრეტულ ნივთებთან ან აქტივობებთან.
ახალი ნაშრომის ავტორები ასევე აღნიშნავენ, რომ 2012 წლის მიდგომის მიხედვით, არსებობს პრაქტიკული შეზღუდვები იმ ნივთების რაოდენობაზე, რომლებიც შეიძლება წარდგენილი იყოს მაყურებლის წინაშე, მაშინ როცა მომხმარებლის პრეფერენციების უფრო აბსტრაქტული მოდელის შემუშავება ხსნის ამ საზღვრებს და ქმნის გარე შეტევებს და მიმიკას (ე.ი. ფიშინგზე, პერსონალურ ცოდნაზე ან სხვა მეთოდებზე დაყრდნობით) გაცილებით რთულია.
გრაფიკული პაროლების იდეა განსაკუთრებით წინ უსწრებს ამ სამუშაოს, 1990-იანი წლების ბოლოს გაჩნდა სქემების გამრავლება. ა თანამედროვე შესწავლა განიხილავს PassFace-ებს, სადაც მომხმარებლებს უნდა დაემახსოვრებინათ სახეები (გარდა საკუთარი) და არა პაროლები. ამ მიდგომით, პოტენციურ ინფილტრატორს თეორიულად დასჭირდება არაჩვეულებრივად ინტიმური დომენის ცოდნა მომხმარებლის სახის პრეფერენციების შესახებ. გარდა ამისა, მომხმარებელს, სავარაუდოდ, შეიძლება დაეყრდნოს იგივე სახეების არჩევას დროთა განმავლობაში ორიენტაციის ფაზაში.
1990-იანი წლების ბოლოდან ლონდონის გოლდსმითსის უნივერსიტეტში გამოსაცდელი PassFaces სქემა მომხმარებელს ავალდებულებდა აერჩია და დაემახსოვრებინა სხვა ადამიანების ოთხი სახე. თავდაპირველი არჩევანი ეფუძნებოდა მომხმარებლის საკუთარ უპირატესობას და ამ თვალსაზრისით ნამუშევარი დაკავშირებულია AEbA-სთან. წყარო
ყველაზე მჭიდროდ დაკავშირებულია AEbA-სთან დეჟავუ, რომელმაც მაყურებელს წარუდგინა შემთხვევითი ხელოვნების სურათები, რომლებიც არ იყო შექმნილი სიამოვნების საპასუხოდ, არამედ აპირებდა გამოიყენოს მღელვარე და არათანმიმდევრული გამოსახულება, რათა დაეხმაროს მომხმარებლებს დამახსოვრებაში კონკრეტული სურათები რომ ისინი შეიტანენ „პორტფოლიოში“ თავდაპირველი ჩარიცხვისას და მოგვიანებით საჭირო იქნება ამოცნობა მრავალი შესაძლო სურათიდან ავთენტიფიკაციის დროს.
"სასურველი" სურათების პორტფოლიოს შეკრება დეჟა ვუსთვის. წყარო: https://netsec.ethz.ch/publications/papers/usenix.pdf
როგორც ახალი ნაშრომის ავტორები შენიშნავენ, ეს მიდგომა უგულებელყოფს ნეიროესთეტიკურ ლიტერატურაში ასახულ სარგებელს (ანუ მცირეა შიდა მოტივაცია შემოთავაზებულ შესაძლო სურათებთან დასაკავშირებლად).
გარდა ამისა, ასეთი მეთოდი დაუცველია „მხრის სერფინგის“ მიმართ, სადაც ახლო (ან MiTM) თავდამსხმელს შეიძლება ჰქონდეს შესაძლებლობა, მოწმენი იყოს, რომელი სურათებია არჩეული. ამის საპირისპიროდ, AEbA-ს სრული დანერგვა არ იმეორებს სურათებს, რომლებიც ადრე გამოიყენებოდა ტრენინგში ან ავთენტიფიკაციის სესიებზე.
გარდა ამისა, ნაშრომი აღნიშნავს*:
„გრაფიკულ პაროლებში გამოვლენილი ერთ-ერთი პრობლემა არის ის, რომ, როგორც ჩვეულებრივ პაროლებს, მომხმარებლები მიდრეკილნი არიან აირჩიონ მარტივი ნახატები, რაც ამცირებს ამ პაროლების ცვალებადობას და მათ უფრო მგრძნობიარეს ხდის მოწინააღმდეგე შეტევების მიმართ. კიდევ ერთი პრობლემა (და შესაძლოა წინას მიზეზი) არის პოტენციური ჩარევა, თუ ასეთი სქემები გამოიყენება რამდენიმე სისტემაში, ანუ, მომხმარებლის მიერ ერთი სისტემის პაროლის მეხსიერება აზიანებს მათ პაროლის მეხსიერებას. სხვა სისტემა. ეს საკითხები ნაკლებად აწუხებს AEbA-ს დანერგვისას, რომელიც ეყრდნობა თანდაყოლილ პრეფერენციებს, რომლებიც არ არის დამოკიდებული კონკრეტულ ანგარიშებზე ან სურათების დამახსოვრებაზე.'
ავტორები ასევე ხაზს უსვამენ AEbA-ს დამატებით უპირატესობას: კონტექსტურ აღქმას. მაშინაც კი, თუ მხრის სერფინგს ან RAT თავდამსხმელს შეეძლო ავთენტიფიკაციის სესიის ნახვა, მათ არ იცოდნენ, რამდენად შორს არის „მოწონებული“ სურათები (ანუ წარმოდგენილი სურათები, რომლებსაც მომხმარებელი დაბალ შეფასებას აფასებს ან უარყოფს ავტორიზაციის დროს) „მოწონებული“ სურათისგან – ფაქტორი, რომელიც ყოველ ჯერზე განსხვავებული იქნება.
'შესაბამისად, იმის ცოდნა, რომ ვინმეს სურათი მოსწონს, სულაც არ დაგვეხმარება, თუ არ ვიცით, რამდენად მოეწონება გამოსახულება სხვა სურათებთან შედარებით, ნაჩვენები ნაკრებიდან.'
გარდა ამისა, მომხმარებლისთვის შეუძლებელია შეინახოს თავისი პაროლი დაუცველად მოხერხებულობისთვის, მაგალითად, ქაღალდის ნარჩენებზე, რადგან მათი სასურველი სურათის შინაარსის დომენი არაჩვეულებრივად აბსტრაქტული და არარედუქციურია.
ტესტირება AEbA
მკვლევარებმა სისტემა განახორციელეს, როგორც თამაში, პროექტის ძირითადი შენობების კონცეფციის დადასტურების კონტექსტში, აწარმოეს 318 სურათის მონაცემთა ბაზის კურირება უფასო საფონდო ვებსაიტიდან pexels.com და ასევე მათ შორის სურათები პირადი არქივიდან.
ფოტოები დაყოფილი იყო რვა კატეგორიად (სამყარო, ბუნება, მთები, ტყის, ყვავილები, ქალაქის პეიზაჟები, ზღვისპირადა სხვა), და ცდები იყოფა ჩარიცხვა (სადაც სურათები თავდაპირველად შეფასდა მომხმარებლების მიერ ერთჯერადი ათწუთიანი სესიით), ან ავტორიზაციის თამაშიდა ბოლოს ა მოწინააღმდეგე თამაში (სხვების გამოსახულების პრეფერენციების გამოცნობა).
არაკონტრიბუტორი მონაწილეების ამოღების შემდეგ, მოხერხებულობის ნიმუში (ანუ მონაწილეთა საცდელი ჯგუფი) შემცირდა 33 მოთამაშამდე, რომელიც შედგებოდა 21 ქალი და 12 მამაკაცი.
ჩარიცხვა
ჩარიცხვის ფაზაში 3722 სურათისთვის მიიღეს 274 რეიტინგი, საშუალო რეიტინგი 6.07, მედიანური რეიტინგი 6, რის შედეგადაც ყველაზე ხშირი მნიშვნელობებია 7 და 8. ყველაზე ნაკლებად მოწონებულმა სურათმა მიიღო მხოლოდ 2.32 ქულა, ხოლო ყველაზე მოწონებული. 8.63.
გამოსახულების რეიტინგების განაწილება ტესტებში საუკეთესო შემსრულებლებს შორის.
ავტორები ამტკიცებენ, რომ გამოსახულების რეიტინგის მაღალი და დაბალი მნიშვნელობების შესამჩნევი გადახრები, კომბინირებული ასეთი გრადიენტების მრავალფეროვნებასთან მომხმარებელთა ბაზაზე, ადასტურებს მათ მტკიცებას, რომ მომხმარებლებს შეუძლიათ გამოიყენონ ძალიან განსხვავებული მოწონების ქულები წარმოდგენილ სურათებზე, საჭიროების გარეშე. მოიცავს აშკარად ამაღელვებელ ან „განაწილების გარეშე“ სურათებს. როგორც ჩანს, ზოგადად მრავალფეროვანი ახირება და მიდრეკილება მომხმარებელთა მცირე ჯგუფშიც კი საკმარისია ცენტრალური კონცეფციის დასადასტურებლად.
სურათების ნიმუში სხვადასხვა მომხმარებლის შეფასებით.
აუტენტიფიკაცია
Authentication თამაშისთვის ჩატარდა 264 სათამაშო სესია, თითოეული მონაწილე ასრულებდა თამაშს ორჯერ საშუალოდ რვა სესიაზე. წარმატების საშუალო მაჩვენებელი იყო 76%.
ცდის 33 წევრს შორის თამაშის ქულების განაწილების ყუთის დიაგრამა, საშუალო ქულები გამოსახულია მუქი შავი ჰორიზონტალური ხაზით, რომელიც აჩვენებს მედიანას, პირველ და მესამე კვანტილს, მინიმალური, მაქსიმალური და გამოკვეთილებით.
მიუხედავად იმისა, რომ დროთა განმავლობაში დაფიქსირდა შესრულების „მსუბუქი ვარდნა“, ეს მნიშვნელოვნად შემცირდა მონაწილეთა საუკეთესო 50%-ში, პრაქტიკულად გაქრა 11 საუკეთესო მონაწილეში (საბოლოო მომხმარებელთა ჯგუფის მესამედი).
მოწინააღმდეგე თამაში
საპირისპირო თამაშის კომპონენტში იყო შეუზღუდავი თამაში (განსხვავებით რეგისტრაციისგან) და მოხდა თამაშის ფაზის დაწყებიდან ათი დღის შემდეგ. შედეგებისთვის 190 თამაში იყო დათვლილი (ტექნიკური პრობლემების გამოკლებით). სწორი საპირისპირო არჩევანის საშუალო რაოდენობამ მიაღწია 2.88-ს, 36%-იანი წარმატების მაჩვენებელი ტექნიკურად შემთხვევითობის ტოლფასი (განსაკუთრებით მონაცემთა ნაკრების სურათების დაბალი რაოდენობის გათვალისწინებით). თუმცა, შვიდ თამაშში, ავტორებმა შეძლეს გამოიცნონ სწორი სურათების 75% ან მეტი.
დასკვნა
შემთხვევითი ტესტის მეთოდოლოგია (როგორიცაა კანდიდატების ტესტირებისთვის მოსახერხებელი ნიმუშის გამოყენება) კვლევაში ნიშნავს, რომ მიდგომა ამჟამად წარმოადგენს კონცეფციის ფართო მტკიცებულებას; ახალი მითითება იმისა, რომ ადამიანზე ორიენტირებული „დომენის დაჭერა“ ერთ მშვენიერ დღეს შეიძლება უზრუნველყოს ავთენტიფიკაციის მარტივი და თუნდაც სასიამოვნო მეთოდი, რომლის მითვისება ან ჩარევა რთულია. ცხადია, რომ AEbA-ს ღირებულების დასადგენად საჭირო იქნება ბევრად უფრო მკაცრი გამოცდები, მონაწილეთა უფრო დიდი რაოდენობით და სათანადოდ დადგმული ავტორიზაციის სცენარი.
ავტორებმა დაასკვნეს:
„ასევე საინტერესო იქნებოდა მანქანური სწავლების ტექნიკის გამოყენების პოტენციალის შესწავლა ინდივიდუალური მომხმარებლების შეფასებების პროგნოზირებისთვის და გასაღებების და მატყუარაების გენერირებისთვის, რომლებიც მომხმარებელს ადრე არ ჰქონდა შეფასებული. ამით შეიძლება გაიზარდოს პაროლების სივრცე ინდივიდუალური მომხმარებლების გამოსახულების აუზებისა და მათი ცვალებადობის გაზრდით.'
*ავტორთა შიდა ციტატების ჩემი გადაყვანა ჰიპერბმულებად
პირველად გამოქვეყნდა 13 წლის 2022 აპრილს.
