Observation-Resistant Multifactor Multimodal Authentication

Abstract

ENGELSK: This thesis investigates the use of hand gestures as an additional modality in authentication schemes, to thwart the risk of observation (shoulder surfing) attacks. We used the accelerometer already embedded in the iPod Touch to gather accelerometer signals, which were used to conduct experiments on how accurately we could recognize and differentiate different gestures. We restricted ourselves to a pre-defined set of gestures, and achieved an EER of 5% on the controlled wrist movements, and 8% after including two circular motions. The algorithms we used were tailored to fit the limited computational power of the iPod Touch, as we needed a recognition module that could be used in real time for our authentication schemes. After assessing the characteristics of the different hand gestures, we developed two unique authentication schemes that incorporate hand gestures as an additional modality for authentication. We developed suitable attack scenarios, and found that both schemes adds additional entropy to the scheme, as well as a significant amount of shoulder surfing resistance.

NORSK: Denne oppgaven ser på bruken av håndbevegelser som en ekstra modalitet i autentiseringsskjemaer, for å minske risikoen for observasjonsangrep. Vi utviklet et program for iPod Touch som bruker den innebygde akselerasjonsmåleren til å samle akselerometerdata. For å undersøke hvor nøyaktig vi kan gjenkjenne og skille mellom forskjellige håndbevegelser, ble dette programmet brukt til å samle data om 6 forskjellige bevegelser fra totalt 38 deltagere. Vi begrenset oss til et forhåndsdefinert sett av bevegelser, og oppnådde en EER på 5% på de kontrollerte håndleddsbevegelsene, og en EER på 8% da vi inkluderte to sirkulære bevegelser. Algoritmene vi brukte var skreddersydd for å passe den begrensede regnekraften i en iPod Touch, da det var viktig at gjenkjenningsmodulen kunne brukes av våre autentiseringsskjemaer i sanntid. Etter å ha oppnådd tilfredsstillende feilrater utviklet vi to unike autentiseringsskjemaer som bruker håndbevegelser i autentiseringen, og det ble utviklet passende angrepsscenarier for å verifisere styrken av disse. Sikkerheten til autentiseringsskjemaene ble vurdert, og vi fant at begge skjemaene øker sikkerheten og resistansen mot observajonsangrep betraktelig.