Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten
Verteidigung
Betreuer: Prof. Dr. Roth, Oliver Wiese Zweitgutachter: Prof. Dr. Lutz Prechelt
Johannes Schäffer08.06.2017
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 2
Motivation
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 3
Motivation
Schützenswerte Daten
DATA
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 4
Motivation
VerschlüsselungAuthentifizierungsverfahren
Schützenswerte Daten
DATA
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 5
Motivation
VerschlüsselungAuthentifizierungsverfahren
Schützenswerte Daten
DATA
Multi-Tasking
TV
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 6
Motivation
VerschlüsselungAuthentifizierungsverfahren
****1 2 34 5 67 8 9 0
Schützenswerte Daten
DATA
Multi-Tasking
TV
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 7
Motivation
VerschlüsselungAuthentifizierungsverfahren
****1 2 34 5 67 8 9 0
Shoulder-Surfing
Schützenswerte Daten
DATA
Multi-Tasking
TV
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 8
Outline● Related Work● Studie: Nutzungsszenario● Ergebnisse: Nutzungsszenario● Angriffsszenario● Lessons Learned● Ausblick
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 9
Related Work
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 10
Related Work● Was wurde bisher untersucht? Wo und wie werden EyeTracker eingesetzt?
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 11
Related Work● Was wurde bisher untersucht? Wo und wie werden EyeTracker eingesetzt?● Authentifizierung: Wissensbasierte Verfahren
● Studien: Harbach et al.● Häufigste Verfahren: PIN & Pattern
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 12
Related Work● Was wurde bisher untersucht? Wo und wie werden EyeTracker eingesetzt?● Authentifizierung: Wissensbasierte Verfahren
● Studien: Harbach et al.● Häufigste Verfahren: PIN & Pattern
● Eye-Tracker● UX-Untersuchungen● Als Entsperrverrverfahren Liu et al.
Dachuan Liu, Bo Dong, Xing Gao, and Haining Wang. Exploiting eye tracking for smartphone authentication. In ACNS, 2015.
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 13
Related Work● Was wurde bisher untersucht? Wo und wie werden EyeTracker eingesetzt?● Authentifizierung: Wissensbasierte Verfahren
● Studien: Harbach et al.● Häufigste Verfahren: PIN & Pattern
● Eye-Tracker● UX-Untersuchungen● Als Entsperrverrverfahren Liu et al.
● Neu● Eye-Tracker als Untersuchungsmethode für Sperrverfahren
Dachuan Liu, Bo Dong, Xing Gao, and Haining Wang. Exploiting eye tracking for smartphone authentication. In ACNS, 2015.
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 14
Studiendesign
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 15
Studiendesign
● Forschungsfragen:● Erlaubt ein Sperrverfahren mehr visuelle Aufmerksamkeit für andere
Tätigkeiten?● Explorativ: Was kann mithilfe von Eye-Trackern bei Shoulder-Surfing gemessen
werden?
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 16
Studiendesign
● Forschungsfragen:● Erlaubt ein Sperrverfahren mehr visuelle Aufmerksamkeit für andere
Tätigkeiten?● Explorativ: Was kann mithilfe von Eye-Trackern bei Shoulder-Surfing gemessen
werden?
● Laborstudie● 17 Teilnehmer (ursprünglich 20)● 8 Frauen, 9 Männer● 16 von 17 studieren● PIN: 8● Pattern: 7● Biometrisch: 1● Nichts: 1
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 17
Android App● Konfigurierbar● Training● Experiment: Simulation von Benachrichtigungen
PIN Pattern SwiPIN ScramblePad
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 18
Nutzungsszenario
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 19
Nutzungsszenario
● Zunächst mit Alltagsverfahren, dann mit anderem:● Geheimnis lernen● 6 mal: Handy vibriert →
Geheimnis eingeben● Ablenkung: Video sehen und
Autos zählen
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 20
Nutzungsszenario
● Zunächst mit Alltagsverfahren, dann mit anderem:● Geheimnis lernen● 6 mal: Handy vibriert →
Geheimnis eingeben● Ablenkung: Video sehen und
Autos zählen
● Unser Interesse:
Blickdauer auf VideoEntsperrdauer
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 21
Semantic Gaze Mapping
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 22
Semantic Gaze MappingStimulusReferenzbild
Zeitleiste: Video + Fixationen
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 23
Semantic Gaze MappingStimulusReferenzbild
Zeitleiste: Video + Fixationen
DistractionVideo
Smartphone
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 24
Gaze Mapping: Pattern
Kein Blick aufs Video Zwei Blicke aufs Video
P2Erste Entsperrung1,4 Sekunden
P8Erste Entsperrung1,1 Sekunden
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 25
Gaze Mapping: PIN
Kein Blick aufs Video Drei Blicke aufs Video
P6Erste Entsperrung1,3 Sekunden
P4Fünfte Entsperrung1,4 Sekunden
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 26
Ergebnisse
⌀=7,4s
⌀=6,7s
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 27
Ergebnisse
● Pattern: Personen mit hoher Video-Aufmerksamkeit um Mittel der anderen
⌀=7,4s
⌀=6,7s
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 28
Ergebnisse
● Pattern: Personen mit hoher Video-Aufmerksamkeit um Mittel der anderen
● Pin: Personen mit hoher Video-Aufmerksamkeit brauchten deutlich länger
⌀=7,4s
⌀=6,7s
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 29
Ergebnisse
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 30
Ergebnisse● Keine statistische Signifikanz
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 31
Ergebnisse● Keine statistische Signifikanz● Viele Messlücken
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 32
Ergebnisse● Keine statistische Signifikanz● Viele Messlücken
Blinzeln?
Sakkade?
Eye-Tracker-Versagen?
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 33
Ergebnisse● Keine statistische Signifikanz● Viele Messlücken
● Strategie bei Aufmerksamkeitssplitting
1.Augen → Ziel
2.Finger bewegt sich hin
3.Augen → Video
4.Finger erreicht Ziel
5.Augen → nächstes Ziel
Blinzeln?
Sakkade?
Eye-Tracker-Versagen?
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 34
Angriffsszenario
• Video: Angreifer folgt mit Blick dem Finger
• P19, ScramblePad (4 stellig), Dritter Versuch
• ½ -fache Abspielgeschwindigkeit
• Beobachtung • Verschiedene Strategien
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 35
Eye-Tracking: Lessons Learned● Vorbereiten auf fehlerhafte Aufnahmen → Teilnehmer-Puffer● Beeinträchtigung des Eye-Trackers
● Position des Smartphones, Halterung● Lichtverhältnisse● Kopfform, Augenposition, Augenform beeinflussen Eye-Tracker-Genauigkeit
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 36
Ausblick
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 37
Ausblick
● Bisher wenig beachtete Dimension bei Sperrverfahren: Level visueller Aufmerksamkeit
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 38
Ausblick
● Bisher wenig beachtete Dimension bei Sperrverfahren: Level visueller Aufmerksamkeit
● Anderer Versuchsaufbau: realistischere Ablenkungssimulation ● Verkehr: Fußgänger, Auto (aufbauend auf Haga et al. 2015)● Gespräche
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 39
Ausblick
● Bisher wenig beachtete Dimension bei Sperrverfahren: Level visueller Aufmerksamkeit
● Anderer Versuchsaufbau: realistischere Ablenkungssimulation ● Verkehr: Fußgänger, Auto (aufbauend auf Haga et al. 2015)● Gespräche
● Analyse von Shoulder-Surfing-Angriffen unter Berücksichtigung verschiedener „Blick-Strategien“
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 40
Ausblick
● Bisher wenig beachtete Dimension bei Sperrverfahren: Level visueller Aufmerksamkeit
● Anderer Versuchsaufbau: realistischere Ablenkungssimulation ● Verkehr: Fußgänger, Auto (aufbauend auf Haga et al. 2015)● Gespräche
● Analyse von Shoulder-Surfing-Angriffen unter Berücksichtigung verschiedener „Blick-Strategien“
● Szenario: Geübte Angreifer
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 41
Danke
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 42
Versuchsaufbau: Angriff● ScramblePad & SwiPIN
● Zufallselement● Einstellige und vierstellige Geheimnisse
● Versuchsleiter gibt Geheimnis ein● Studienteilnehmer „stiehlt“ Geheimnis
****1 2 34 5 67 8 9 0
Shoulder-Surfing
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 43
Ergebnisse
• Erfolgsraten ⌀• ScramblePad: Nahezu 100%• SwiPIN (1-stellig): 50%• SwiPIN (4-stellig): 33%
• Strategien• Finger folgen• Anderes (schweifender Blick)
• Vermutlich periphere Wahrnehmung• Kombination von beidem
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 44
Plot: Timetable
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 45
Autos zählen / Relative Aufmerksamkeit
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 46
Dauer / Relative Aufmerksamkeit (Video)
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 47
Differenz: Erster - Zweiter Durchgangschneller
langsamer
Weniger Video-Aufmerksamkeit
Mehr Video-Aufmerksamkeit
Aus dem Auge des Nutzers: Authentifizierungsverfahren auf mobilen Endgeräten, 08.06.17 48
Synchronisationsproblem
Zeitpunkt des Versuchs (UNIX-Timestamp)
Zei
tdiff
eren
z in
ms
0
-40000