Comments 15
То есть когда август закончится и цикады перестанут орать под окном, всё, прощай аккаунт?
нет, там одновременно записывается звук и с телефона и с компа, а затем сравнивается. Но в реале это вряд ли будет работать, тупить будет так же как авторизация по отпечатку пальцев сейчас в телефонах (через раз работает, на айфоне)
А, то есть записывается не звук окружения, а звук, воспроизводимый другой железкой? Ну, имеет смысл. Хотя бы подумал о том, чтобы «приложуха на телефоне» по bluetooth что-то слала в компьютер (или получала).
Рраз — и двухфакторка.
Рраз — и двухфакторка.
Вы опять не так поняли. Записываться будет звук окружения, одновременно с двух устройств. Если звук, записанный с ноутбука, совпадает со звуком, записанным с телефона, значит оба устройства находятся рядом, то есть при пользователе
А, понял.
Теперь вопрос: нафига записывать окружающий шум, когда можно просто воспроизвести его?
Чаще всего у компьютера есть колонки. Микрофон не всегда. Значит, правильный алгоритм такой:
1. Компьютер воспроизводит криптомелодию.
2. Телефон её слышит и передаёт на сервер.
Атака:
А) Без доступа к телефону невозможна, ибо требуется конкретно то приложение, которое на телефоне. Оно услышанный звук проверяет и подписывает своим ключом (открытая часть которого регистрируется в системе).
Б) Без доступа к аккаунту пользователя невозможна, ибо мелодия уникальная и сервер должен её ждать.
При этом она никакого шума не ожидает, плюс пользователь точно слышит, что «компьютер ща делает платёж», плюс есть возможность выключить (выключил звук — нет платёжек).
Для усиления кон-фу можно попытаться заюзать какие-то неукрадаемые в электронном виде возможности телефона (TPM и всё такое, если оно там есть).
Теперь вопрос: нафига записывать окружающий шум, когда можно просто воспроизвести его?
Чаще всего у компьютера есть колонки. Микрофон не всегда. Значит, правильный алгоритм такой:
1. Компьютер воспроизводит криптомелодию.
2. Телефон её слышит и передаёт на сервер.
Атака:
А) Без доступа к телефону невозможна, ибо требуется конкретно то приложение, которое на телефоне. Оно услышанный звук проверяет и подписывает своим ключом (открытая часть которого регистрируется в системе).
Б) Без доступа к аккаунту пользователя невозможна, ибо мелодия уникальная и сервер должен её ждать.
При этом она никакого шума не ожидает, плюс пользователь точно слышит, что «компьютер ща делает платёж», плюс есть возможность выключить (выключил звук — нет платёжек).
Для усиления кон-фу можно попытаться заюзать какие-то неукрадаемые в электронном виде возможности телефона (TPM и всё такое, если оно там есть).
Справедливости ради стоит отметить, что на айфоне точность всё таки высокая, 9 из 10 раз срабатывает очень четко. При этом прикладывать палец можно под любым углом и почти любой его площадью, всё равно будет 9 из 10 (на самом деле уже не припомню случая, когда touch id бы не сработал с первого раза)
Если у вас именно тупит, или просто чтобы еще сильнее повысить точность распознавания, достаточно заглянуть в Настройки -> Touch ID и просто поприкладывать нужным пальцем к touch id (удалять и пересканировать отпечаток не нужно), каждый раз будет происходить распознавание и загорится строчка с уже сохраненным отпечатком, точность каждый раз будет повышаться (иногда нужно подождать секунды 2-3, чтобы он распознал более сложный случай прикосновения, но зато в работе уже будет распознавать быстро)
Это сработает, даже если вы будете прикладывать под очень разными углами от изначального распознавания (вертикально или горизонтально или боком и т.д.) или прикасаться разной площадью пальца (пол-пальцем, 1/4 пальца итд). Согласен, немного не очевидное решение, однако после этого, даже коснувшись лишь слегка кончиком пальца к touch id — он будет срабатывать, не говоря уже про полный контакт
Если у вас именно тупит, или просто чтобы еще сильнее повысить точность распознавания, достаточно заглянуть в Настройки -> Touch ID и просто поприкладывать нужным пальцем к touch id (удалять и пересканировать отпечаток не нужно), каждый раз будет происходить распознавание и загорится строчка с уже сохраненным отпечатком, точность каждый раз будет повышаться (иногда нужно подождать секунды 2-3, чтобы он распознал более сложный случай прикосновения, но зато в работе уже будет распознавать быстро)
Это сработает, даже если вы будете прикладывать под очень разными углами от изначального распознавания (вертикально или горизонтально или боком и т.д.) или прикасаться разной площадью пальца (пол-пальцем, 1/4 пальца итд). Согласен, немного не очевидное решение, однако после этого, даже коснувшись лишь слегка кончиком пальца к touch id — он будет срабатывать, не говоря уже про полный контакт
Второй вариант год назад реализовал Приватбанк в Украине.
Вот только видео работы найти не могу.
ain.ua/2014/04/25/521618
Вот только видео работы найти не могу.
ain.ua/2014/04/25/521618
Это что ж получается, если я первый раз дома аутентифицировался, аккурат в тот момент, когда сосед со своей женой детей делал, мне что, просить его повторить? А если у него новая жена будет?
А не проще ли, этому мобильному приложению выдавать сообщение с вопросом(как мобильные операторы используют ussd для аутентификации):
Вами выполняется операция "%" на другом устройстве?
Варианты ответа: Да(это я)/Нет(это кто то балуется).
[Плюсы]
Не надо вводить никакой код, удалять СМС-ку.
[Минусы]
Таки придется отвлечься на телефон, разблокировать, и ткнуть вариант ответа.
Вами выполняется операция "%" на другом устройстве?
Варианты ответа: Да(это я)/Нет(это кто то балуется).
[Плюсы]
Не надо вводить никакой код, удалять СМС-ку.
[Минусы]
Таки придется отвлечься на телефон, разблокировать, и ткнуть вариант ответа.
Это ломается на раз. Достаточно чтобы рядом с жертвой был человек/устроство — которое либо записывает, либо воспроизводит нужные звуки (возможны варианты для удобства атакующих).
Sign up to leave a comment.
В Швейцарии придумали двухфакторную аутентификацию с использованием фонового шума