Dissertação

{en_GB=Web Authentication Using a Secure Personal Device} {} EVALUATED

{pt=A autenticação de utilizadores em páginas WEB continua a ser ser um desafio. O utilizadores são obrigados a usar passwords, introduzindo várias vulnerabilidades: como passwords fortes são complexas de memorizar, os utilizadores usam passwords fáceis de quebrar ou adivinhar. Para além disso as passwords podem ser intercetadas por vírus. Para além disto, a maioria dos gestores de passwords usam o clipboard para transferir as passwords para os browsers, podendo ser comprometidas por aplicações maliciosas. Neste trabalho, propomos um sistema, chamada BioALeg, para suportar autenticação biométrica segura em páginas web legadas. A nossa proposta aproveita as funcionalidades do SPD (Secured Personal Devic), um acessório para smartphones que está a ser desenvolvido no contexto do projeto Europeu PCAS (www.pcas-project.org). Este dispositivo oferece autenticação e armazenamento seguro. Ao aceder a uma página web legada, o utilizador vê um formulário de autenticação normal. O sistema BioAleg instalado no telemóvel verifica se o servidor está também a correr o middleware e pede-lhe uma OTP (one time password). A password é gerada no servidor e transferida para o browser, esta comunicação é mediada pelo SPD. Esta transferências só é executada se o dono do SPD se autenticar corretamente. para aceder a uma password o utilizador tem de se autenticar (usando biometria). BioAleg evita o uso do clipboard na transferência das passwords, implementando um copy/paste seguro. Esta soluções aumenta a segurança na autenticação de páginas web a partir de dispositivos móveis, obrigando apenas à instalação do middleware no smartphone e alterações mínimas no infraestrutura do servidor. , en=The authentication of users in legacy websites via mobile devices is still a challenging problem. Users are required to provide passwords, introducing several vulnerabilities: since strong passwords are hard to memorize, users often use weak passwords that are easy to break, and passwords can be intercepted by malware and stolen. In this work we propose a novel system, named BioALeg, to support secure biometric authentication on legacy websites. Our approach leverages the potential of a Secured Personal Device (SPD), a hardware addon for mobile phones that is being developed in the context of the PCAS European project (www.pcas-project.org). The device offers biometric authentication and secure storage services. When accessing a legacy web site the user is presented a regular login form. The BioALeg middleware verifies that the server is also running the middleware and asks him a OTP. This OTP is generated on the server and transferred to the browser using the SPD. This transfer is only executed if the owner of the SPD is correctly biometric authenticated. To increase the security of stored password we also developed and Password manager using the secure storage feature of the SPD. To access a password the user must be biometricaly authenticated. Besides that BioALeg system avoiding using clipboard by offering a secure copy/paste mechanisms. These solutions increase the security of authentication on mobile web sites, requiring only installation of the middleware on the mobile-phone and minimal changes on the server infrastructure. }
{pt=Autenticação web, Páginas web legadas, Autenticação biométrica, Gestor de passwords, One-Time-Passwords, en=Web authentication,  Legacy web services,  Biometric authentication,  Password manager,  One-Time-Passwords}

Novembro 2, 2016, 14:30

Publicação

Obra sujeita a Direitos de Autor

Orientação

ORIENTADOR

João Nuno De Oliveira e Silva

Departamento de Engenharia Electrotécnica e de Computadores (DEEC)

Professor Auxiliar