| Name: | Description: | Size: | Format: | |
|---|---|---|---|---|
| 3.67 MB | Adobe PDF |
Authors
Advisor(s)
Abstract(s)
In 2015, the number of mobile devices (e.g., smartphones, tablets, phablets, etc.) exceeded
the number of physical computers worldwide. The physical characteristics of these devices are
constantly evolving. Increased autonomy, storage and processing capacity, as well as functionality
are factors that lead people to buy more and more of these devices. There are thousands of
applications for many different areas, that can be can be installed and used on daily-basis, ranging
from finantial applications, to health, games, movies, and utilities, etc. Users increasingly
rely on these devices, entrusting them with private or sensitive data (e.g., photos, contacts,
videos, confidential information, etc.). Thus, the system must be ever safer, so that the users
also feel safer when using them.
Android is an open source Operating System (OS), for which is simple to develop applications.
At the time of writing of this dissertation, this was the most widely used OS in the world of
mobile devices. and users rely on its security mechanisms to protect them against attacks from
third parties. In addition to the security mechanisms functioning without the explicit knowledge
of the user, it is possible to use other optional security application such as lock screens with
associated secret. The lock screen applications are authentication systems that allows one to
block and control the access to the device. The authentication is the process by which an
entity (e.g., a person or a system) is identified by another entity. The authentication process
is usually achieved by proving knowledge or possession of a personal characteristic or device,
which are known as something you have, something you have or something you are factors.
These designations that are typically used to categorize authentication mechanisms. Several
factors can be combined in multi-factor systems to increase security.
One of the problems of lock screens and current authentication systems is that, regardless of
the concept being used, the secret code to unlock or to authenticate to the system is always
static along the time. This specific characteristic of the current approaches can be exploited
by malicious users. If the authentication secret (e.i., the code of a lock screen application)
is discovered, and the user is unaware of this fact, then the malicious user who discovered
the secret can log in afterwards and impersonating the real user, because the system always
asks for the same secret code. If the user wants to avoid the aforementioned situation while
using the popular authentication systems based on username-password or patterns, he has the
inconvenience of having to change and memorize a new authentication secret regularly.
This master’s program consisted in the development and analysis of a new approach for authentication
in which the secret is dynamic, which means that it changes over time without
the direct intervention of the user. One of the main objectives that are expected from this
approach is that it conciliates security with user friendliness. The user is not forced to change
the secret nor has to explicitly memorize it in the same way he memorizes a password, Personal
Identification Number (PIN), image, pattern, etc. In the proposed approach, the authentication
system uses the activity of the user on the mobile device to generate the secret that enables
unlocking it and identify the user. The data concerning user activity is stored by the OS itself.
This authentication method is simple, because it is based in information that the user knows
without much effort, and it is safe, because the authentication secret is not static, contrarily
to many authentication mechanisms used nowadays. To test the feasibility of the authentication approach, it was decided to proceed with the preparation
of a survey to obtain feedback from users on different aspects. The survey was done in
digital format and used also a mobile application for the Android operating system, specially
designed for the subject at hands. The survey was divided into three parts. The first part contained
questions about knowledge and safety habits in the utilization of smartphones, and also
questions related to the main topic of this master’s program. The second part of the survey
contained a usability test. In this test, several challenge-questions related with the activities of
the participant on your smartphone were asked, namely questions about the most recent calls
and messages. Usability testing was divided into four groups, with three questions each: one
on the contact name associated with incoming or outgoing calls; one on the duration of calls
and the another one on the name associated with the most recent messages. In the final part
of the survey, the questions were designed so as to obtain the opinion of the user regarding the
proposed approach and the subject of the dissertation. After the delivery of the survey results,
progress was made to analyze the results.
After having obtained enought users participating in the survey, the results were analysied.
Several individual and comparative analysis were performed at this stage. It was concluded that
users remember information about contact names more easely, both for calls and for messages,
and that they find it more difficult to memorize the duration of calls. Participants were faster
answering to questions related with messages than related with calls. Through this survey and
its results, it was possible to evaluate and analyze various other aspects, such as the kind of
activity the user is more aware of (e.g., last vs. penultimate activities), or the impact on
effectiveness of the number of options displayed for every question. Most participants found
the approach to be very interesting.
Apart from what was mentioned before, the most visible outcome of this work is the final
prototype for a lock screen, which offers two modes of operation. In the first version, the user
must correctly answer a consecutive series of questions to unlock the smartphone. In the second
version, several contact names are displayed on the screen, and the user has to select the group
of contacts with whom he interacts more frequently, in order to successfully unlock the device.
An additional (alternative) authentication mechanism was added to the lock scree, in case the
user is not able to authenticate using the first one. This secondary mechanism is triggered
automatically after several failed attempts to login or incorrect answers, and it consists on the
insertion of a pre-configured PIN,
No ano de 2015, o número de dispositivos móveis (e.g., smartphones, tablets, phablets, etc.) ultrapassou o número de computadores físicos a nível mundial. As características físicas destes dispositivos estão em constante evolução. O aumento da autonomia, da capacidade de armazenamento e processamento e das funcionalidades, são fatores que levam as pessoas a comprarem cada vez mais estes dispositivos. Existem milhares de aplicações para as mais diversas áreas, que podem ser instaladas e utilizadas no dia-a-dia do utilizador, desde aplicações financeiras, de saúde, jogos, filmes, utilidades, etc. Os utilizadores confiam cada vez mais nestes dispositivos, confiando-lhes dados e informações privadas e delicadas (e.g., fotos, contactos, vídeos, informações confidenciais, etc). Desta forma, os sistemas devem ser cada vez mais seguros, para que o utilizadores se sintam mais seguros com a utilização dos mesmos. O Android é um sistema operativo open source, para o qual é simples desenvolver aplicações. À data de escrita da dissertação, é o sistema operativo mais utilizado no mundo para dispositivos móveis, e os utilizadores confiam nos seus mecanismos de segurança para os proteger contra ataques de terceiros. Para além dos mecanismos de segurança que funcionam sem o conhecimento do utilizador, é possível utilizar outras aplicações opcionais de segurança, como as aplicações de bloqueio de ecrã (lock screen) com segredo. As aplicações de lock screen são sistemas de autenticação que permitem bloquear e controlar o acesso ao dispositivo. A autenticação é o processo em que uma entidade (uma pessoa ou sistema) se identifica perante outra entidade. O processo de autenticação é normalmente conseguido através da prova de conhecimento, posse ou de uma característica pessoal, fatores conhecidos na área pelas designações inglesas something you know, something you have e something you are, que podem ser usados individualmente ou combinados em sistemas multi-fator. Um dos problemas dos lock screens e de alguns sistemas de autenticação da actualidade reside no facto de, independentemente do conceito utilizado, o código secreto para desbloquear ou para se autenticar perante o sistema ser sempre estático ao longo do tempo. Esta característica dos sistemas de autenticação da actualidade pode ser explorada por utilizadores mal intencionados. Caso o segredo de autenticação (e.g., código de uma aplicação lock screen) seja descoberto, e o utilizador não saiba que o seu segredo foi comprometido, o utilizador que descobriu o segredo pode autenticar-se, fazendo-se passar pelo verdadeiro utilizador, visto que o sistema pergunta sempre pelo mesmo código secreto. Nos sistemas de autenticação convencionais e mais utilizados, sistemas baseados na introdução de username-password ou introdução de um padrão, se o utilizador quiser precaver-se da situação descrita anteriormente, tem o incomodo de ter que alterar e memorizar com frequência um novo segredo de autenticação. Este programa de mestrado consistiu no desenvolvimento e estudo de uma nova abordagem de autenticação em que o segredo é dinâmico, o que significa que este muda ao longo do tempo, sem ser preciso a intervenção direta do utilizador. Um dos objetivos a alcançar com esta abordagem é conciliar a segurança com a experiência do utilizador. O utilizador não tem o incómodo de mudar o segredo de autenticação nem tem que lembrar-se da mesma forma que se lembra de uma palavra-passe, Personal Identification Number (PIN), imagem, padrão, etc. Nesta abordagem, o sistema de autenticação utiliza actividade registada no dispositivo móvel para gerar o código secreto que permite desbloquear e identificar o utilizador. Este método de autenticação é simples, porque é baseado em informação que o utilizador sabe automaticamente e não é baseado em alguma coisa em que o utilizador é obrigado a decorar. Este é um mecanismo mais seguro, pois o segredo de autenticação não é estático, contrariamente a muitos mecanismos de autenticação utilizados nos dias de hoje. Para se testar a viabilidade da abordagem de autenticação, decidiu proceder-se à elaboração de um inquérito para obter retorno dos utilizadores sobre vários aspetos. O inquérito foi feito em formato digital e recorreu também a uma aplicação móvel para o sistema operativo Android. O inquérito foi divido em três partes. A primeira parte continha perguntas sobre o conhecimento e hábitos de segurança na utilização de smartphones e ainda perguntas relacionadas com o tema do programa de mestrado. A segunda parte do inquérito continha o teste de usabilidade. Neste teste, foram feitas várias questões relacionadas com a actividade do utilizador no smartphone, nomeadamente perguntas sobre as chamadas e mensagens mais recentes. O teste de usabilidade estava dividido em quatro grupos, com três perguntas em cada um: uma sobre o nome do contacto associado a chamadas, outra sobre a duração das chamadas e outra sobre o nome do contacto associado às mensagens. Na última parte do inquérito, as perguntas eram destinadas a conhecer a opinião do utilizador em relação ao inquérito e ao tema do mesmo. Depois da entrega dos resultados dos inquéritos, avançou-se para a análise dos resultados. Elaboraram-se análises individuais e comparativas para diferentes aspectos. Concluiu-se que o utilizador se lembra mais facilmente de informação relativa aos nomes de contactos, tanto em relação a chamadas como a mensagens, tendo mais dificuldade em relembrar-se da duração das chamadas. Os participantes revelaram mais rapidez em responder às questões relativas a mensagens do que em relação a ambas as questões de chamadas. Através do inquérito pode-se avaliar e analisar vários outros dados, como qual o tipo de actividade de que o participante está mais ciente (últimas vs. penúltimas actividades) ou por exemplo o impacto da quantidade do número de respostas que são mostradas ao utilizador. A maior parte dos inquiridos achou a abordagem muito interessante. Aparte o que foi mencionado antes, o resultado mais visível deste trabalho é o protótipo final para um lock screen, que disponibiliza dois modos de operação. Na primeira versão, o utilizador tem que responder correctamente a uma série consecutiva de perguntas para desbloquear o seu smartphone. Na segunda versão, são exibidos vários nomes de contactos no ecrã, o utilizador tem que selecionar o conjunto de contactos com quem tem mais frequência de interação para desbloquear o smartphone. Foi adicionado um segundo mecanismo de autenticação para o caso do utilizador não se conseguir autenticar. Nesse caso, a dificuldade é detectada pelo sistema, que envia o utilizador para um segundo sistema de autenticação, onde pode usar um código PIN por si configurado anteriormente.
No ano de 2015, o número de dispositivos móveis (e.g., smartphones, tablets, phablets, etc.) ultrapassou o número de computadores físicos a nível mundial. As características físicas destes dispositivos estão em constante evolução. O aumento da autonomia, da capacidade de armazenamento e processamento e das funcionalidades, são fatores que levam as pessoas a comprarem cada vez mais estes dispositivos. Existem milhares de aplicações para as mais diversas áreas, que podem ser instaladas e utilizadas no dia-a-dia do utilizador, desde aplicações financeiras, de saúde, jogos, filmes, utilidades, etc. Os utilizadores confiam cada vez mais nestes dispositivos, confiando-lhes dados e informações privadas e delicadas (e.g., fotos, contactos, vídeos, informações confidenciais, etc). Desta forma, os sistemas devem ser cada vez mais seguros, para que o utilizadores se sintam mais seguros com a utilização dos mesmos. O Android é um sistema operativo open source, para o qual é simples desenvolver aplicações. À data de escrita da dissertação, é o sistema operativo mais utilizado no mundo para dispositivos móveis, e os utilizadores confiam nos seus mecanismos de segurança para os proteger contra ataques de terceiros. Para além dos mecanismos de segurança que funcionam sem o conhecimento do utilizador, é possível utilizar outras aplicações opcionais de segurança, como as aplicações de bloqueio de ecrã (lock screen) com segredo. As aplicações de lock screen são sistemas de autenticação que permitem bloquear e controlar o acesso ao dispositivo. A autenticação é o processo em que uma entidade (uma pessoa ou sistema) se identifica perante outra entidade. O processo de autenticação é normalmente conseguido através da prova de conhecimento, posse ou de uma característica pessoal, fatores conhecidos na área pelas designações inglesas something you know, something you have e something you are, que podem ser usados individualmente ou combinados em sistemas multi-fator. Um dos problemas dos lock screens e de alguns sistemas de autenticação da actualidade reside no facto de, independentemente do conceito utilizado, o código secreto para desbloquear ou para se autenticar perante o sistema ser sempre estático ao longo do tempo. Esta característica dos sistemas de autenticação da actualidade pode ser explorada por utilizadores mal intencionados. Caso o segredo de autenticação (e.g., código de uma aplicação lock screen) seja descoberto, e o utilizador não saiba que o seu segredo foi comprometido, o utilizador que descobriu o segredo pode autenticar-se, fazendo-se passar pelo verdadeiro utilizador, visto que o sistema pergunta sempre pelo mesmo código secreto. Nos sistemas de autenticação convencionais e mais utilizados, sistemas baseados na introdução de username-password ou introdução de um padrão, se o utilizador quiser precaver-se da situação descrita anteriormente, tem o incomodo de ter que alterar e memorizar com frequência um novo segredo de autenticação. Este programa de mestrado consistiu no desenvolvimento e estudo de uma nova abordagem de autenticação em que o segredo é dinâmico, o que significa que este muda ao longo do tempo, sem ser preciso a intervenção direta do utilizador. Um dos objetivos a alcançar com esta abordagem é conciliar a segurança com a experiência do utilizador. O utilizador não tem o incómodo de mudar o segredo de autenticação nem tem que lembrar-se da mesma forma que se lembra de uma palavra-passe, Personal Identification Number (PIN), imagem, padrão, etc. Nesta abordagem, o sistema de autenticação utiliza actividade registada no dispositivo móvel para gerar o código secreto que permite desbloquear e identificar o utilizador. Este método de autenticação é simples, porque é baseado em informação que o utilizador sabe automaticamente e não é baseado em alguma coisa em que o utilizador é obrigado a decorar. Este é um mecanismo mais seguro, pois o segredo de autenticação não é estático, contrariamente a muitos mecanismos de autenticação utilizados nos dias de hoje. Para se testar a viabilidade da abordagem de autenticação, decidiu proceder-se à elaboração de um inquérito para obter retorno dos utilizadores sobre vários aspetos. O inquérito foi feito em formato digital e recorreu também a uma aplicação móvel para o sistema operativo Android. O inquérito foi divido em três partes. A primeira parte continha perguntas sobre o conhecimento e hábitos de segurança na utilização de smartphones e ainda perguntas relacionadas com o tema do programa de mestrado. A segunda parte do inquérito continha o teste de usabilidade. Neste teste, foram feitas várias questões relacionadas com a actividade do utilizador no smartphone, nomeadamente perguntas sobre as chamadas e mensagens mais recentes. O teste de usabilidade estava dividido em quatro grupos, com três perguntas em cada um: uma sobre o nome do contacto associado a chamadas, outra sobre a duração das chamadas e outra sobre o nome do contacto associado às mensagens. Na última parte do inquérito, as perguntas eram destinadas a conhecer a opinião do utilizador em relação ao inquérito e ao tema do mesmo. Depois da entrega dos resultados dos inquéritos, avançou-se para a análise dos resultados. Elaboraram-se análises individuais e comparativas para diferentes aspectos. Concluiu-se que o utilizador se lembra mais facilmente de informação relativa aos nomes de contactos, tanto em relação a chamadas como a mensagens, tendo mais dificuldade em relembrar-se da duração das chamadas. Os participantes revelaram mais rapidez em responder às questões relativas a mensagens do que em relação a ambas as questões de chamadas. Através do inquérito pode-se avaliar e analisar vários outros dados, como qual o tipo de actividade de que o participante está mais ciente (últimas vs. penúltimas actividades) ou por exemplo o impacto da quantidade do número de respostas que são mostradas ao utilizador. A maior parte dos inquiridos achou a abordagem muito interessante. Aparte o que foi mencionado antes, o resultado mais visível deste trabalho é o protótipo final para um lock screen, que disponibiliza dois modos de operação. Na primeira versão, o utilizador tem que responder correctamente a uma série consecutiva de perguntas para desbloquear o seu smartphone. Na segunda versão, são exibidos vários nomes de contactos no ecrã, o utilizador tem que selecionar o conjunto de contactos com quem tem mais frequência de interação para desbloquear o smartphone. Foi adicionado um segundo mecanismo de autenticação para o caso do utilizador não se conseguir autenticar. Nesse caso, a dificuldade é detectada pelo sistema, que envia o utilizador para um segundo sistema de autenticação, onde pode usar um código PIN por si configurado anteriormente.
Description
Keywords
Actividade Utilizador Android Ataque de Escuta Sobre O Ombro Autenticação Bloquear Bloquear Ecrã Controlo de Acesso Desbloquear Palavra-Passe Palavra-Passe Dinâmica Segredo Dinâmico Segurança Segurança Móvel Telemóvel