Dissertação

{en_GB=Authentication via User Profiling} {} EVALUATED

{pt=Autenticação online usando um username e uma password textual tem sido provada como uma solução insegura. Algumas soluções têm adoptado diferentes tipos de password ou adicionado novos factores de autenticação como biometrias, localização geográfica ou posse de objectos. Apesar destas soluções serem seguras, requerem por vezes hardware que é caro e difícil de distribuir ou exigem demasiadas acções por parte do utilizador. No caso de autenticação online em dispositivos móveis, onde os utilizadores desejam uma autenticação rápida, estas soluções tornam-se ineficientes. A solução descrita neste trabalho consiste num factor de autenticação que usa as características de um smartphone e a configuração introduzida pelo utilizador para criar um perfil único que vai ser usado para autenticar o utilizador, não exigindo acções extra por parte do utilizador, uma vez que o smartphone fornece ao sistema toda a informação necessária. A solução proposta é tão segura como as soluções existentes. Uma vez que os dispositivos móveis estão sujeitos a alterações como as aplicações instaladas, contas e redes memorizadas, actualizações do sistema operativo entre outras, a verificação dos perfis deve ser feita de forma a tolerar pequenas alterações. Assim, o servidor de autenticação avalia as similaridades entre perfis, usando thresholds definidos. Se atributos estáticos (como o IMEI, resolução do ecrã entre outros) forem alterados ou se um grande número de atributos for alterado, a verificação do perfil falha imediatamente, activando o mecanismo de fallback definido pela entidade externa que serve de cliente., en=Online authentication using only a username and a textual password has been proven flawed over years. Some solutions have been adopting different types of passwords (for example, Graphical Passwords) or adding more authentication factors such as biometrics, location and object possession. Despite these solutions being secure, they sometimes require expensive hardware that is hard to distribute, or demand several actions from the user. In the particular case of authentication in mobile devices, where users want a fast authentication, some of these solutions are unusable. The solution described in this work is an additional authentication factor that uses the smartphone characteristics and its user configuration in order to create user profiles that will be used to authenticate the user, requiring no actions from the user. This way the proposed solution provides a fast authentication that does not requires the user to perform any actions. The proposed solution is also as secure as existing solutions. Since mobile devices are subject to changes such as the installed applications, memorized networks and accounts, operating system upgrades among others, profile verification must be made allowing small changes. Therefore, the Authentication Server should evaluate whether the freshly received profile is similar enough to the stored profile using defined thresholds. If static attributes (such as the IMEI, screen resolution among others) are changed, or if a large number of attributes have been changed, then the verification fails immediately, activating the fallback mechanism defined by the third-party application.}
{pt=Autenticação Online, Two-Factor Authentication, dispositivos móveis, perfis de utilizador, en=Online authentication, Two-Factor Authentication, mobile devices, user profile}

Novembro 6, 2017, 14:30

Publicação

Obra sujeita a Direitos de Autor

Orientação

ORIENTADOR

Pedro Miguel dos Santos Alves Madeira Adão

Departamento de Engenharia Informática (DEI)

Professor Auxiliar