Keystroke dynamics - Can attackers learn someone’s typing characteristics

Abstract

NORSK: Denne masteroppgaven er om keystroke dynamics i autentiserings situasjoner. Brukernes taste karakteristikk er sjekket i tillegg til deres brukernavn og passord, dette øker sikkerheten i passord/brukernavn autentiserings systemer. Det er bevist at keystroke dynamics kan skjelne mellom individer. Vi hadde to eksperiment i denne masteroppgaven. Det første eksperimentet samlet passord tastinger fra 21 deltakere over en to måneders periode. Disse tastingene ble brukt til å teste forskjellige distanse metrikker. Mange distanse metrikker er foreslått av andre forfattere, vi testet flere distanse metrikker i denne masteroppgaven, og oppdaget at noen av de foreslåtte distanse metrikkene fungerer dårlig i våres eksperiment. Noen av forfatterne har prøvd å imitere brukeres taste karakteristikk, men de mest avanserte angrepene var shoulder-sniffing teknikker. Deres konklusjon var at keystroke dynamics er resistent mot angrep. Vi vet at det er vanskelig å lære en sport uten riktig tilbakemelding, vi antok at dette også var tilfelle for keystroke dynamics. Vi lagde et avansert angrep, der en angriper får tak i en brukers template, og angriperen kan se hvor hans eller hennes tasting avviker fra brukerens. Ved å la angripere bruke et program som hjelper dem å lære andres taste karakteristikk, klarte vi å svare på det viktige spørsmålet; "kan en angriper lære seg noens taste karakteristikk?"

ENGELSK: This master’s thesis is about keystroke dynamics in authentication situations. Users typing characteristics are checked in addition to their username and password, increasing the security of password/username authentication systems. It has been proved that keystroke dynamics can differentiate between individuals. We had two experiments in this thesis. The first experiment gathered password samples from 21 participants over a two months period. These samples were used to test various distance metrics. Many distance metrics have been proposed by other authors, we have tested several distance metrics in this thesis, discovering that some of the proposed distance metrics had a poor performance in our experiment. Some of the authors tried to imitate legitimate users typing characteristics, but the most advanced attacks were shoulder-sniffing techniques. Their conclusion was that keystroke dynamics is resistant against attacks. We know that that it is difficult to learn sports without proper feedback, we assumed that it was the same for keystroke dynamics. We created a more advanced attack, where an attacker gets hold of a users template, and the attacker can see where his or hers typing differs from the legitimate user. By letting attackers use a program that helps them learn other’s typing characteristics we were able to answer the important question; “can an attacker learn someone’s typing characteristics?”