Potansiyel Bir Doğrulama Faktörü Olarak Estetik Tercih Tanıma

İsrail'den yeni bir makale, kullanıcının estetik tercihlerine dayalı bir kimlik doğrulama şeması önerdi. Bu şemaya göre, kullanıcı görüntüleri derecelendirerek sistemi bir kez kalibre ediyor ve böylece o kişinin görsel ve görsel/kavramsal tercihlerinin özel bir "alanı" oluşturuluyor. Daha sonra, kimlik doğrulama sırasında kullanıcıdan, kayıtlı tercihlerini yeni görüntü kümeleriyle eşleştirmesi isteniyor.

'Oyunlaştırılmış' bir AEbA uygulamasının denemelerinden – solda, kullanıcı bir görüntünün estetik kalitesini derecelendiriyor; sağda, denemelerin aktif uygulama aşamasında bir aşamanın sonunda bir puan belirtiliyor. Kaynak: https://arxiv.org/ftp/arxiv/papers/2204/2204.05623.pdf

Sistem başlıklı Estetik Değerlendirmeye Dayalı Kimlik Doğrulama (AEbA) ve Temmuz ayında Kaliforniya'da düzenlenen 2022 USENIX Yıllık Teknik Konferansına sunulan bir sunumdur.

AEbA, araştırmacılar tarafından bir oyun serisi şeklinde denendi. Katılımcıların sistemi eğitmeleri ve ardından kayıtlı zevklerine uygun yeni görselleri derecelendirmeleri gerekiyordu. İkinci test turunda ise kullanıcının başkalarının tercihlerini tahmin etme becerisi incelendi.

Kağıttan – pexels.com'dan AEbA'da kullanıma uygun örnek görüntüler.

Böyle bir yaklaşım tüm insanlar için uygun olmayabilir, çünkü herkes iyi gelişmiş bir estetik duyarlılığa sahip değildir, ancak düşük-orta güvenlik gereksinimleri için birincil kimlik doğrulama şeması veya bir dizi olası ek yöntem arasından bir seçim olarak iyi hizmet edebilir. iki faktörlü kimlik doğrulamada (2FA).

Bununla birlikte, kimlik doğrulama sırasında kullanıcılara sunulan görüntülerin sayısı, CAPTCHA sınamalarında olduğu gibi, gerektiğinde varsayılan olarak artırılabileceğinden, sistemle ilgili yeni ortaya çıkan fikir, daha karmaşık estetik tabanlı sınama sistemleri için bir başlangıç ​​noktası oluşturabilir. başlangıç ​​sonuçlarının belirsiz olması durumunda uzatılabilir.

Zorluk ne kadar ayrıntılı ve kapsamlı olursa, böyle bir yaklaşımın sunabileceği güvenlik o kadar yüksek olur.

Bir AEbA meydan okumasının birkaç faktörü çarpıldığında elde edilen göreceli parola gücü ölçeği: 'D' meydan okuma sırasında görüntülenen görüntü sayısını temsil eder; Dhr kullanıcının seçmesi gereken görüntü sayısını temsil eder; ve 'S' estetik seçimin doğrusal sürecindeki ekran (yani aşama) sayısını temsil eder.

Açısından insan kimlik doğrulaması için ortak kurallar, AEbA öğelerini içerir bildiğin bir şey (SYK) ve olduğun bir şey (SYA) ve üç öncül üzerine kuruludur: sevdiğimiz şeyler (görsel alemde temsil edildiği şekliyle) bizim için kolayca ayırt edilebilir (genel anımsatıcı teorisine uygun olarak); estetik zevklerimiz nispeten tutarlı kalır; ve çeşitli kullanıcıların zevklerinde, tercihlerde tahmin edilemez bir ayrım sağlamaya yetecek kadar farklılık olduğu.

Yazarlar, tekniğin bireysel kullanıcıların değerlendirmelerini tahmin edebilen makine öğrenme çerçevelerine uyarlanabileceğini öne sürüyorlar.

MKS kâğıt başlıklı Güzel sırlar: kullanıcıların kimliğini doğrulamak için estetik görüntüler kullanmak, ve Beersheba'daki Negev Ben-Gurion Üniversitesi'ndeki Yazılım ve Bilişim Sistemleri Mühendisliği fakültesindeki iki araştırmacıdan geliyor.

Görüntü Etki Alanlarının Gücü

AEbA, ezberlemeye dayanmaz, bunun yerine son kullanıcıya, sağlam ve çok özel bir zevk tepkileri gamı ​​geliştiren ve bu çok güçlü yanıtları belirleyen eğitimli bir görüntü tanıma sistemi olarak davranır. zevk dernekleri.

Özünde, AEbA, insan eşdeğerine bağlıdır. soyut öncelikler Bilgisayarlı görme ve görüntü sentez sistemlerinde, tek ve değişmez bir görüntüde somutlaştırılmadan stil ve alan-özgü özellikleri iletebilen sistemlerde. Bu tür ön koşulların uygulanmasıyla, bir Üretici Çelişkili Ağ (GAN), bir alanı (yani 'Van Gogh') başka türlü tamamen yeni resimlerin oluşturulmasına.

Yeni çalışma, önceki literatürde görüntülerin ezberlenmesinin kelimelerden daha kolay olduğuna, hoş görüntülerin ezberlenmesinin genel görüntülere göre daha kolay olduğuna ve görüntülerin aktif değerlendirilmesinin (kısa AEbA eğitim sürecinde olduğu gibi) daha öte. Çalışmalar 1970'lara geri dönüyor İnsanların genel olarak görüntüler ve daha önce görüntülenen görüntüler için 'muazzam depolama kapasitesine' sahip olduğunu ve görüntüleri hafızaya dahil etme yeteneğimizin belirlendiğini gösterdi için özellikle geçmek sözel hafıza kapasitemiz.

Sağduyu, radyologlar gibi alan uzmanlarının en çok kendi alanlarındaki görüntülere duyarlı olacağını öne sürse de, 2010 çalışmada Görsel 'özelliğe' sahip olanlarda bile, günlük imgeler için bellek kapasitesinin, alan-özgü imgeler için olandan çok daha geniş olduğunu ileri sürmüştür.

Tercihe Dayalı Kimlik Doğrulama

Bir kimlik doğrulama mekanizması olarak tercihlerden yararlanma kavramı, 2008'den itibaren Palo Alto Araştırma Merkezi'nden Markus Jakobsson tarafından yönetilen iki makalede öne çıktı. Tercihe Dayalı Kimlik Doğrulama (PBA) etrafındaki bu araştırma dilimi, müzik, yemek, sanat eserleri ve sevdiğimiz diğer şeylerin zihnimize yerleştiğini ve güçlü içsel motivasyonlarla beslendiğini öne sürdü.

PBA başlangıçta yalnızca şifre sıfırlamayı kolaylaştıran bir araç olarak önerilmişti; 'Country müzik sever misiniz?' gibi sorular sorulmuştu ve görsel girdi yerine geleneksel hafıza teknikleri doğrultusunda metin tabanlı tercihlere odaklanılmıştı.

A müteakip işbirliği 2012'de Jakobsson'dan metin, resimlerle değiştirildi:

Markus Jakobsson 2012 PBA projesinin kalibrasyon/kayıt aşamasından bir ekran görüntüsü. Kaynak

Ancak yazarlar, bu şemanın görsellerin estetik değerlendirmesini hesaba katmadığını, aksine görselleri kelime veya kavramların yerine kullandığını belirtiyor. Buna karşılık, AEbA, belirli şeyler veya aktivitelerle doğrudan ilişkili olmayan, kullanıcıya özgü bir "haz alanı" belirlemeye çalışıyor.

Yeni makalenin yazarları ayrıca, 2012 yaklaşımı altında izleyiciye sunulabilecek öğelerin sayısında pratik sınırlar olduğunu, oysa daha soyut bir kullanıcı tercihleri ​​modeli geliştirmenin bu sınırları ortadan kaldırdığını ve harici saldırılar ve taklitler (örn. kimlik avına, kişisel bilgiye veya diğer hile yöntemlerine dayalı) çok daha zordur.

Grafik şifreler fikri, 1990'ların sonlarında ortaya çıkan şemaların çoğalmasıyla, özellikle bu çalışmadan önce gelir. A çağdaş çalışma Kullanıcıların parola yerine (kendi yüzleri dışındaki) yüzleri ezberlemek zorunda kaldığı PassFaces'i ele alıyor. Bu yaklaşımla, potansiyel bir sızmacı teorik olarak kullanıcının yüz tercihleri ​​hakkında olağanüstü derecede detaylı bir alan bilgisine ihtiyaç duyacaktır. Ayrıca, kullanıcının oryantasyon aşamasında zaman içinde aynı yüzleri seçmesi beklenebilir.

1990'ların sonlarından itibaren Londra'daki Goldsmiths Üniversitesi'nde denenen PassFaces sistemi, kullanıcının dört farklı kişinin yüzünü seçip ezberlemesini gerektiriyordu. İlk seçim, kullanıcının kendi tercihine dayanıyordu ve bu anlamda çalışma AEbA ile bağlantılıydı. Kaynak

AEbA ile en yakından ilişkili olan Déjà vuİzleyicilere rasgele sanat görüntüleri sunan, zevk tepkisini meşgul etmek için tasarlanmamış, bunun yerine kullanıcıların ezberlemesine yardımcı olmak için sarsıcı ve uyumsuz görüntüler kullanmayı amaçlıyordu. belirli görüntüler İlk kayıt sırasında bir 'portföy'e dahil edecekler ve daha sonra kimlik doğrulama sırasında birden fazla olası görüntüden tanımaları gerekecek.

Déjà vu için 'tercih edilen' görsellerden oluşan bir portföy oluşturuyoruz. Kaynak: https://netsec.ethz.ch/publications/papers/usenix.pdf

Yeni makalenin yazarlarının gözlemlediği gibi, bu yaklaşım nöroestetik literatürde belirtilen faydaları göz ardı ediyor (yani, sunulan olası görüntülerle bağlantı kurmak için çok az içsel motivasyon var).

Ek olarak, böyle bir yöntem, yakın (veya MiTM) bir saldırganın hangi görsellerin seçildiğini görme fırsatına sahip olabileceği "omuzdan bakma"ya karşı savunmasızdır. Buna karşılık, AEbA'nın tam bir uygulaması, daha önce eğitim veya kimlik doğrulama oturumlarında kullanılan görselleri tekrarlamayacaktır.

Ek olarak, makale notları*:

Grafiksel parolalarda tespit edilen sorunlardan biri, normal parolalarda olduğu gibi kullanıcıların basit çizimleri seçme eğiliminde olmalarıdır; bu da parolaların değişkenliğini azaltır ve onları saldırgan saldırılara karşı daha savunmasız hale getirir. Bir diğer sorun (ve belki de bir öncekinin nedeni), bu tür şemaların birden fazla sistemde kullanılması durumunda ortaya çıkabilecek olası müdahaledir; örneğin, kullanıcıların bir sistem için bir parolayı hatırlaması, diğer sistem için bir parolayı hatırlamalarını olumsuz etkiler. bir diğeri sistem'Bu sorunlar, belirli hesaplara veya görselleri ezberlemeye dayanmayan, doğuştan gelen tercihlere dayanan AEbA'yı uygularken daha az endişe verici hale geliyor.'

Yazarlar ayrıca AEbA'nın ek bir avantajını da vurguluyor: bağlamsal algı. Bir omuz sörfçüsü veya RAT saldırganı bir kimlik doğrulama oturumunu görüntüleyebilse bile, "beğenilmeyen" görsellerin (yani kullanıcının düşük puan verdiği veya kimlik doğrulama sırasında reddettiği sunulan görseller) "beğenilen" görselden ne kadar uzakta olduğunu bilemez; bu faktör her seferinde farklı olacaktır.

'Sonuç olarak, birisinin bir resmi beğendiğini bilmek, eğer o resmin görüntülenen kümedeki diğer resimlere kıyasla ne kadar beğenildiğini bilmiyorsak, illa ki yardımcı olmaz.'

Ek olarak, bir kullanıcının parolasını güvenli olmayan bir şekilde, örneğin bir kağıt parçası üzerinde saklaması imkansızdır, çünkü tercih ettikleri görüntü içeriğinin alanı olağanüstü derecede soyuttur ve indirgemeci değildir.

AEbA'yı test etme

Araştırmacılar, projenin temel varsayımlarının bir kanıtı bağlamında sistemi bir oyun olarak uyguladılar, ücretsiz stok sitesi pexels.com'dan 318 görselden oluşan bir veritabanı düzenlediler ve ayrıca kişisel bir arşivden görseller eklediler.

Fotoğraflar sekiz kategoride sınıflandırıldı (Evren, Tabiat, Dağlar, Orman, Çiçekler, Kent, Sahil, ve Diğer) ve denemeler ikiye ayrıldı kayıt (görüntülerin başlangıçta kullanıcılar tarafından bir defaya mahsus on dakikalık bir oturumda derecelendirildiği yer), bir Kimlik Doğrulama Oyunuve son olarak bir Düşman Oyunu (başkalarının görüntü tercihlerini tahmin etmek).

Katkıda bulunmayan katılımcıları ayıkladıktan sonra, kolaylık örneği (yani katılımcıların deneme grubu), 33 kadın ve 21 erkekten oluşan 12 uygun oyuncuya düşürüldü.

kayıt

Kayıt aşamasında, 3722 görsel için ortalama 274 puanla, ortalama 6.07 puanla 6 puan alındı ​​ve en sık kullanılan 7 ve 8 değerleri elde edildi. En az beğenilen görüntü yalnızca 2.32 puan aldı ve en çok beğenilen görüntü 8.63.

Denemelerde en iyi performans gösterenler arasında görüntü derecelendirmelerinin dağılımı.

Yazarlar, görsel derecelendirmelerindeki yüksek ve düşük değerlere yönelik belirgin eğilimler ile kullanıcı tabanındaki bu tür gradyanların çeşitliliğinin bir araya gelmesinin, kullanıcıların sunulan görsellere, açıkça itici veya "dağıtım dışı" görseller eklemeye gerek kalmadan, oldukça farklı beğeni puanları uygulayabildikleri iddialarını desteklediğini ileri sürüyorlar. Görünüşe göre, küçük bir kullanıcı grubunda bile genel olarak değişkenlik gösteren kaprisler ve eğilimler, temel kavramı doğrulamak için yeterli.

Çeşitli kullanıcı derecelendirmelerine sahip örnek resimler.

Doğrulama

Kimlik Doğrulama oyunu için, her katılımcının oyunu ortalama sekiz oturumda iki kez tamamladığı 264 oyun oturumu gerçekleştirildi. Ortalama başarı oranı %76 idi.

Denemenin 33 üyesi arasındaki oyun puanı dağılımının kutu arsa grafiği; ortalama puanlar kalın siyah yatay çizgiyle gösterilir, minimum, maksimum ve aykırı değerlerle birlikte medyan, birinci ve üçüncü nicelikleri gösterir.

Zaman içinde performansta 'hafif bir düşüş' yaşansa da, bu düşüş katılımcıların en iyi %50'si arasında büyük ölçüde azaldı ve en iyi 11 katılımcıda (son kullanıcı grubunun üçte biri) neredeyse ortadan kalktı.

Düşman Oyunu

Çekişmeli Oyun bileşeni, sınırsız oyun içeriyordu (Kayıttan farklı olarak) ve Oyun aşamasının başlatılmasından on gün sonra gerçekleşti. Sonuçlar için 190 oyun sayıldı (teknik sorunların meydana geldiği oyunlar hariç). Ortalama doğru Rakip seçim sayısı 2.88'e ulaştı, bu teknik olarak şansa eşdeğer %36'lık bir başarı oranı (özellikle veri kümesindeki düşük görüntü sayısı dikkate alındığında). Ancak yedi oyunda, katkıda bulunanlar doğru görüntülerin %75'ini veya daha fazlasını tahmin edebildiler.

Sonuç

Çalışmadaki rastgele test metodolojisi (adayları test etmek için kolaylık örneği kullanımı gibi), yaklaşımın şu anda geniş bir kavram kanıtı sunduğunu göstermektedir; insan merkezli "alan yakalama"nın bir gün, benimsenmesi veya müdahale edilmesi zor, kolay ve hatta keyifli bir kimlik doğrulama yöntemi sağlayabileceğinin yeni bir göstergesidir. AEbA'nın değerini ortaya koymak için çok daha titiz denemelere, daha fazla katılımcıya ve uygun şekilde hazırlanmış bir kimlik doğrulama senaryosuna ihtiyaç duyulduğu açıktır.

Yazarlar şu sonuca varıyor:

'Ayrıca, bireysel kullanıcıların değerlendirmelerini tahmin etmek ve kullanıcının daha önce değerlendirmediği anahtarlar ve tuzaklar üretmek için makine öğrenimi tekniklerini kullanmanın potansiyelini incelemek de ilginç olacaktır. Bu, bireysel kullanıcıların görüntü havuzlarını ve bunların değişkenliğini artırarak parola alanını genişletebilir.'

*Yazarların satır içi alıntılarını hiper bağlantılara dönüştürmem

İlk olarak 13 Nisan 2022'de yayınlandı.