~~~~~~~~~~~~~~~~~~~~ Arc.Ask3.Ru ~~~~~~~~~~~~~~~~~~~~~ 
Номер скриншота №:
✰ 4EADF66DA9BA960BA415C0BB1031C304__1712576520 ✰
Заголовок документа оригинал.:
✰ Shoulder surfing (computer security) - Wikipedia ✰
Заголовок документа перевод.:
✰ Плечо серфинг (компьютерная безопасность) — Википедия ✰
Снимок документа находящегося по адресу (URL):
✰ https://en.wikipedia.org/wiki/Shoulder_surfing_(computer_security) ✰
Адрес хранения снимка оригинал (URL):
✰ https://arc.ask3.ru/arc/aa/4e/04/4eadf66da9ba960ba415c0bb1031c304.html ✰
Адрес хранения снимка перевод (URL):
✰ https://arc.ask3.ru/arc/aa/4e/04/4eadf66da9ba960ba415c0bb1031c304__translat.html ✰
Дата и время сохранения документа:
✰ 16.06.2024 11:26:32 (GMT+3, MSK) ✰
Дата и время изменения документа (по данным источника):
✰ 8 April 2024, at 14:42 (UTC). ✰ 

~~~~~~~~~~~~~~~~~~~~~~ Ask3.Ru ~~~~~~~~~~~~~~~~~~~~~~ 
Сервисы Ask3.ru: 
 Архив документов (Снимки документов, в формате HTML, PDF, PNG - подписанные ЭЦП, доказывающие существование документа в момент подписи. Перевод сохраненных документов на русский язык.)https://arc.ask3.ruОтветы на вопросы (Сервис ответов на вопросы, в основном, научной направленности)https://ask3.ru/answer2questionТоварный сопоставитель (Сервис сравнения и выбора товаров) ✰✰
✰ https://ask3.ru/product2collationПартнерыhttps://comrades.ask3.ru


Совет. Чтобы искать на странице, нажмите Ctrl+F или ⌘-F (для MacOS) и введите запрос в поле поиска.
Arc.Ask3.ru: далее начало оригинального документа

Плечо серфинг (компьютерная безопасность) — Википедия Jump to content

Плечо серфинг (компьютерная безопасность)

Из Википедии, бесплатной энциклопедии

В компьютерной безопасности « серфинг через плечо» — это тип метода социальной инженерии , используемый для получения такой информации , как персональные идентификационные номера (ПИН-коды) , пароли и другие конфиденциальные данные, заглядывая через плечо жертвы. Неавторизованные пользователи наблюдают за нажатиями клавиш на устройстве или прослушивают произнесенную конфиденциальную информацию, что также известно как подслушивание . [1] [2]

Методы и история [ править ]

Эту атаку можно выполнить либо с близкого расстояния (смотря прямо через плечо жертвы), либо с большего расстояния, например, с помощью бинокля или аналогичного оборудования. [3] Для применения этого метода злоумышленникам не нужны какие-либо технические навыки, достаточно внимательного наблюдения за окружением жертв и за тем, как они печатают. В начале 1980-х годов возле общественных телефонов-автоматов практиковалось «серфинг через плечо», чтобы украсть цифры телефонных карт и совершить междугородние звонки или продать их на рынке по более низкой цене, чем заплатил первоначальный покупатель. Однако появление современных технологий, таких как скрытые камеры и секретные микрофоны, упрощает серфинг через плечо и дает злоумышленнику больше возможностей для серфинга через плечо на большом расстоянии. Скрытая камера позволяет злоумышленнику захватить весь процесс входа в систему и другие конфиденциальные данные жертвы, что в конечном итоге может привести к финансовым потерям или краже личных данных . [4] Серфинг через плечо чаще встречается в людных местах, поскольку там легче наблюдать за информацией, не привлекая внимания жертвы. [5] Существует два типа атак с использованием плеча: атаки прямого наблюдения, при которых информация аутентификации получается человеком, который непосредственно контролирует последовательность аутентификации, и атаки записи, при которых информация аутентификации получается путем записи последовательности аутентификации для последующего анализа. чтобы открыть устройство. Помимо угроз вводу пароля или PIN-кода, в повседневных ситуациях также происходит сёрфинг с целью раскрытия частного контента на портативных мобильных устройствах; Было обнаружено, что просмотр визуального контента через плечо приводит к утечке конфиденциальной информации пользователя и даже частной информации о третьих лицах. [6]

Контрмеры [ править ]

Ввод пароля на основе взгляда [ править ]

Основная процедура ввода пароля взглядом аналогична обычному вводу пароля, за исключением того, что вместо ввода клавиши или прикосновения к экрану пользователь последовательно смотрит на каждый желаемый символ или область триггера (так же, как при вводе глаз). Таким образом, этот подход можно использовать как с символьными паролями с использованием экранной клавиатуры, так и с графическими схемами паролей, как описано в разделе . [7] Для обеспечения удобства использования и безопасности важно учитывать множество факторов. Технология отслеживания движений глаз значительно продвинулась вперед с момента ее появления в начале 1900-х годов. [8] Современные айтрекеры обеспечивают несложное дистанционное отслеживание глаз на основе видео с точностью до 1 градуса угла обзора. Айтрекеры — это специализированное приложение компьютерного зрения. Камера используется для наблюдения за глазами пользователя. Один или несколько источников инфракрасного света освещают лицо пользователя и создают блеск – отражение источника света на роговице. Когда пользователь смотрит в разные стороны, зрачок перемещается, но расположение блика на роговице остается фиксированным. Относительное движение и положение центра зрачка и блика используются для оценки вектора взгляда, который затем сопоставляется с координатами на плоскости экрана.

Исследователи предложили способы противодействия серфингу через плечо на мобильных устройствах, используя фронтальную камеру для ввода пароля на основе взгляда. Например, GazeTouchPIN [9] и GazeTouchPass [10] комбинируйте ввод взгляда в виде движений глаз влево/вправо и сенсорный ввод, нажимая на экранные кнопки. Эти методы более безопасны, чем традиционный сенсорный ввод (например, PIN-код и шаблоны блокировки), поскольку они требуют, чтобы серферы (1) наблюдали за глазами пользователя, (2) наблюдали за сенсорным вводом пользователя и (3) объединяли наблюдения.

Механизм альбома картин [ править ]

Механизм альбома живописи представляет собой механизм предотвращения серфинга, который обладает характеристиками как графических методов отзыва, так и распознавания . Вместо использования обычного PIN-кода или пароля, состоящего из буквенно-цифровых символов, пользователи выбирают последовательность цветов или изображений для разблокировки системы. Порядок цветов и изображений, выбранный при входе в систему, должен совпадать с порядком при регистрации. [11] Этот метод защиты от «плечевого серфинга» был разработан на основе результатов опроса пользователей о схожести выбора. [12] и посредством наблюдения за тем, как дети рисуют картинки. Результирующий механизм был разработан на основе опроса выбора пользователей, и в результате были созданы три схемы ввода: «Схема прокрутки», «Цветовая схема» и «Схема скотча», которые являются методами создания пароля. Каждая схема ввода не идентична, и пользователь может выбрать ту схему ввода, которую он предпочитает. Схема прокрутки реализована в Microsoft Windows 8 , а в более поздних версиях она известна как графический пароль; однако он подвергся критике за требование от пользователя использовать достаточно безопасный жест. [13]

Схемы ввода Методы ввода
Схема прокрутки Пролистните фотографии
Цветовая схема Коснитесь изображения, затем выберите цветные прямоугольники.
Шотландская схема Проведите пальцем по изображению, коснитесь изображений и выберите цветные прямоугольники одновременно.

Секретный метод прослушивания [ править ]

Для доступа к конфиденциальной информации с низким риском несанкционированного доступа используется метод секретного прослушивания — это метод, который не раскрывает аутентификационную информацию во время входа, даже если другие люди пытаются просмотреть процесс ввода. представляет и запись с камер Кроме того, угрозу . Поэтому необходимо усложнить процесс аутентификации, чтобы предотвратить кражу аутентификационной информации. Например, в смартфонах используются биометрические данные, такие как сканирование отпечатков пальцев или распознавание лиц, которые не могут быть воспроизведены любителями серфинга.

Метод аутентификации секретным касанием может использовать значки или какую-либо другую форму системы. Целями секретной системы кранов являются:

  • Сопротивление скрытому наблюдению : поддерживайте силу сопротивления на уровне, который предотвращает раскрытие аутентификационной информации другим лицам, даже если операция аутентификации выполняется много раз.
  • Запись устойчивости к атакам : поддерживайте уровень сопротивления на уровне, который предотвращает анализ аутентификационной информации другими лицами, даже если операция аутентификации полностью записана.
  • к атакам методом грубой силы Устойчивость : поддерживайте уровень сопротивления на уровне, который предотвращает более легкое нарушение процесса аутентификации, чем при атаке методом грубой силы на четырехзначный PIN-код. Эта политика соответствует стандарту, изложенному в ISO 9564-1. [7]
  • Удобство использования . Поддерживайте уровень удобства использования, позволяющий операторам легко выполнять операцию аутентификации.

рисков буквенно-цифровых и графических Сравнение паролей

Основным преимуществом графических паролей по сравнению с буквенно-цифровыми паролями является улучшенная запоминаемость. Однако потенциальным ущербом для этого преимущества является повышенный риск серфинга на плечах. Графические пароли, в которых используются графика или изображения. [14] такие как PassFaces, Jiminy, [15] VIP, пропуски [14] или комбинация графики и звука, такая как AVAP, скорее всего, подвержены этому повышенному риску, если его каким-либо образом не смягчить при реализации. Результаты указывают на тот факт, что как буквенно-цифровые, так и графические механизмы аутентификации на основе паролей могут иметь значительную уязвимость к несанкционированному серфингу, если не будут приняты определенные меры предосторожности. Несмотря на распространенное мнение, что несловарные пароли являются наиболее безопасным типом аутентификации на основе пароля, наши результаты показывают, что это, по сути, наиболее уязвимая конфигурация для несанкционированного использования.

Ввод PIN-кода [ править ]

Персональный идентификационный номер (или сокращенно ПИН) используется для аутентификации в различных ситуациях при снятии или внесении денег в банкомате , разблокировке телефона, двери, ноутбука или КПК . Хотя этот метод аутентификации в некоторых ситуациях представляет собой двухэтапный процесс проверки , он уязвим для атак с использованием плечевого серфинга. Злоумышленник может получить ПИН-код, либо заглянув через плечо жертвы, либо записав весь процесс входа в систему . На таких предметах, как мобильные телефоны со стеклом и глянцевыми экранами, пользователь мог оставить пятна на экране, обнажая PIN-код. [16] В некоторых продвинутых атаках используются тепловизионные камеры, чтобы увидеть тепловую подпись введенного PIN-кода. [17] Термические атаки используют тепловые отпечатки пальцев, остающиеся на ключах после того, как аутентифицирующий человек ввел секрет. [18] используются различные методологии ввода PIN-кода, устойчивые к небрежному серфингу Таким образом, для обеспечения безопасности процесса аутентификации . [19] Примеры включают ПИН-пады со встроенными средствами защиты конфиденциальности. Другой пример, используемый в банкоматах и ​​некоторых системах входа, - это использование металлических ПИН-панелей, что делает взлом тепловизионных камер практически невозможным из-за их материала. [20] экранирование, отражательная способность или внутренний нагрев. [18] В экспериментах передача тепла посредством протирания теплыми предметами или руками оказалась эффективной для противодействия тепловым атакам. [18]

Тестирование контрмер [ править ]

В когнитивной игре с люком участвуют три группы: машинный проверяющий, человек-доказывающий и человек-наблюдатель. Цель каждой группы состоит в том, что человек, проверяющий, должен ввести ПИН-код, отвечая на вопросы, заданные машинным проверяющим, в то время как наблюдатель пытается просмотреть ПИН-код. Поскольку контрмеры по задумке сложнее узурпировать, наблюдателю нелегко запомнить весь процесс входа в систему, если у наблюдателя нет записывающего устройства. [21]

Виртуальная реальность [ править ]

Пользователь может носить гарнитуру виртуальной реальности , чтобы избежать проблем, связанных с серфингом через плечо; однако управление жестами, нажатие кнопок и голосовые команды все равно могут быть атакованы. [22]

См. также [ править ]

Ссылки [ править ]

  1. ^ «Сёрфинг через плечо — определение серфинга через плечо в… (nd)» . Архивировано из оригинала 20 декабря 2016 года . Проверено 21 октября 2016 г.
  2. ^ «Что такое серфинг на плечах?» . www.experian.com . 30 апреля 2018 г. Проверено 23 февраля 2020 г.
  3. ^ Ки, Джаред (28 апреля 2008 г.). «Социальная инженерия: манипулирование источником» . Читальный зал Инфобезопасности Института SANS . Проверено 24 октября 2016 г.
  4. ^ Лонг, Джонни (2008). «Сёрфинг на плечах». Никакого технического взлома: руководство по социальной инженерии, нырянию в мусорные контейнеры и серфингу через плечо . Берлингтон, Массачусетс: Syngress. стр. 27–60.
  5. ^ Гучер, Венди (ноябрь 2011 г.). «Оглянитесь назад: опасности серфинга на плечах». Компьютерное мошенничество и безопасность . 2011 (11): 17–20. дои : 10.1016/s1361-3723(11)70116-6 .
  6. ^ Эйбанд, Малин; Хамис, Мохамед; фон Цезшвиц, Эмануэль; Гуссманн, Генрих; Альт, Флориан (май 2017 г.). «Понимание серфинга через плечо в дикой природе: истории пользователей и наблюдателей» (PDF) . Материалы конференции CHI 2017 года по человеческому фактору в вычислительных системах . стр. 4254–4265. дои : 10.1145/3025453.3025636 . ISBN  9781450346559 . S2CID   11454671 . Проверено 3 мая 2018 г.
  7. ^ Перейти обратно: а б Суо, X. и Ю. Чжу. Графические пароли: опрос. В материалах ежегодной конференции по приложениям компьютерной безопасности. Тусон, Аризона, США, 2005 г.
  8. ^ Джейкоб, Р.Дж.К. и К.С. Карн, Отслеживание глаз в исследованиях взаимодействия человека с компьютером и удобства использования: готовы выполнить обещания, в «Взгляде разума: когнитивные и прикладные аспекты исследования движения глаз», Дж. Хёна, Р. Радах и Х. Дойбель, Редакторы. Elsevier Science: Амстердам. стр. 573–605, 2003 г.
  9. ^ Хамис и др. GazeTouchPIN: защита конфиденциальных данных на мобильных устройствах с помощью безопасной мультимодальной аутентификации. В материалах 19-й Международной конференции ACM по мультимодальному взаимодействию (ICMI 2017) http://www.mkhamis.com/data/papers/khamis2017icmi.pdf.
  10. ^ Хамис и др. GazeTouchPass: мультимодальная аутентификация с использованием взгляда и прикосновения на мобильных устройствах. В материалах 34-й ежегодной конференции ACM Расширенные тезисы о человеческом факторе в вычислительных системах (CHI 2016 EA), 2016. http://www.mkhamis.com/data/papers/khamis2016chi.pdf .
  11. ^ Сенг, Лим Ка; Итнин, Норафида; Мамми, Хазина Кутти (2012). «Механизм против плечевого серфинга и тест на его запоминаемость». Международный журнал безопасности и ее приложений . 6 (4): 87–96.
  12. ^ Л. К. Сенг, Н. Итнин и Х. К. Мамми, «Приближение пользователя: особенности механизма защиты от плечевого серфинга графической схемы паролей мобильного устройства», Международный журнал проблем компьютерных наук, том. 2, нет. 8, (2011) https://www.ijcsi.org/papers/IJCSI-8-4-2-255-261.pdf
  13. ^ Спектор, Линкольн (14 марта 2016 г.). «Графический пароль Windows 10: выводы о его безопасности делайте сами» . ПКМир . Проверено 23 февраля 2020 г.
  14. ^ Перейти обратно: а б Р. К. Томас, А. Карахасанович и Дж. Е. Кеннеди, «Исследование показателей задержки нажатия клавиш как индикатора эффективности программирования», представленный на Австралазийской конференции по компьютерному образованию 2005 г., Ньюкасл, Австралия, 2005 г.
  15. ^ Л. К. Сенг, Н. Итнин и Х. К. Мамми, «Приближение пользователя: особенности механизма защиты от плечевого серфинга графической схемы паролей мобильного устройства», Международный журнал проблем компьютерных наук, том. 2, нет. 8, (2011)
  16. ^ «Смазочные атаки на сенсорные экраны смартфонов | Материалы 4-й конференции USENIX по наступательным технологиям» (PDF) . dl.acm.org . Проверено 25 июля 2020 г.
  17. ^ «Тепловизионные устройства могут украсть ваши PIN-коды и пароли» . www.consumeraffairs.com . 2014-09-02 . Проверено 25 июля 2020 г.
  18. ^ Перейти обратно: а б с Фрич, Лотар; Мекалифф, Мари; Опдал, Катинка В.; Рундгрин, Матиас; Саксе, Торил (2022). На пути к обеспечению устойчивости факторов аутентификации, вводимых с клавиатуры, с термической очисткой от термографических атак . Общества компьютерных наук eV ISBN  978-3-88579-719-7 .
  19. ^ Ли, М. (апрель 2014 г.). Понятия безопасности и расширенный метод ввода PIN-кода, устойчивого к серфингу через плечо человека. Транзакции IEEE по информационной криминалистике и безопасности, 9 (4), 695–708. doi:10.1109/tifs.2014.2307671
  20. ^ «Кража PIN-кодов банкомата с помощью тепловизионных камер» . Голая охрана . 17 августа 2011 г. Проверено 25 июля 2020 г.
  21. ^ Рот, В., и Рихтер, К. (2006). Как защититься от серфинга через плечо. Журнал банковского дела и финансов, 30 (6), 1727–1751. doi:10.1016/j.jbankfin.2005.09.010
  22. ^ Абдрабу, Ясмин; и другие. (6–10 июня 2022 г.). Понимание поведения плечевого серфера и моделей атак с использованием виртуальной реальности (PDF) . Материалы Международной конференции по передовым визуальным интерфейсам 2022 г. (AVI 2022), 6–10 июня 2022 г., Фраскати, Рим, Италия.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Shoulder_surfing_(computer_security)&oldid=1217899651"
Arc.Ask3.Ru: конец оригинального документа.
Arc.Ask3.Ru
Номер скриншота №: 4EADF66DA9BA960BA415C0BB1031C304__1712576520
URL1:https://en.wikipedia.org/wiki/Shoulder_surfing_(computer_security)
Заголовок, (Title) документа по адресу, URL1:
Shoulder surfing (computer security) - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть, любые претензии не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, денежную единицу можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)