Forsker i tastebiometri: Ekstremt svært at genskabe en anden persons tasterytme

Illustration: NTNU
Hvordan du skriver på tastaturet, kan afsløre, hvem du er, og kan på den måde også bidrage til øget sikkerhed. Men er det noget, vi kan stole på?

Biometri er det tekniske udtryk for måling af biologiske mønstre. Tastebiometri tager udgangspunkt i, at alle mennesker har en unik tasterytme.

Det betyder, at hvis du skriver på tastaturet på din egen pc, vil du kunne blive genkendt og verificeret. På samme måde vil en eventuel indtrænger blive eksponeret, hvis tasterytmen ikke stemmer overens med din.

I udgangspunktet kan dette erstatte den form for 2-trinsbekræftelse, hvor du får tilsendt en SMS med en kode for verificering. Der findes blandt andet en udvidelse til Google Chrome, hvor du kan benytte dig af tastebiometri til 2-trinsbekræftelse.

Tastebiometri kan også bruges som et ekstra sikkerhedslag på både netbank-indlogning og nethandel, når du har lagt dit ‘taste-dna’ i registreringen. Det betyder for eksempel, at når du vil ‘gå til kassen’, bliver du autentificeret, når du indtaster betalingsinformationen.

Patrick Bours er professor ved NTNU og forsker blandt andet i tastebiometri. Han kalder denne form for tastebiometri for statisk autentificering.

»Hvis man sammenligner sikkerheden bag et system, som kun benytter password, med et tastebiometrisk passwordsystem, vil sidstnævnte selvsagt være sikrere,« fastslår Bours.

I et sådant autentificeringssystem skal tasterytmen stemme overens med grundlaget, og passwordet, som er skrevet ind, skal være korrekt.

Et andet brugsområde til tastebiometri er at verificere studerende. Når en studerende registreres, vil de også danne et biometrisk grundlag, når de indtaster en kort sætning. Sådan kan de helt enkelt blive identificeret ved eksamenslokaler, så ingen studerende kan udgive sig for at være en anden.

Bours kalder denne form for tastebiometri for kontinuerlig autentificering.

»Her benyttes tastebiometrien i en længere periode, og de studerende bliver verificeret kontinuerligt, så længe de skriver. Da det her ikke vides, hvad de studerende vil skrive, vil deres tasterytme blive målt op mod profilen, uafhængig af hvad der skrives.«

Sådan virker det

Tastebiometrisk verificering sker simpelthen ved, at du skriver på tastaturet, som du altid gør. Teknologien vil opfatte, om det er dig, som taster, og hvis det stemmer, vil verificeringen være vellykket; i hvert fald hvis teknologien fungerer, som den skal. Hvis det ikke er dig, som skriver, bliver det registreret, at tasterytmen er anderledes, end da du skrev selv.

Tastebiometrien baserer sig på en række forskellige faktorer for at identificere personen, som skriver på tastaturet. Her i forenklet form:

  • Hvor hurtig tastningen er – samt hvor længe tasterne bliver holdt nede, før de slippes, og hvor lang tid det tager, fra en tast er sluppet, til en anden er trykket ned igen.
  • Hvorvidt venstre shift-tast, højre shift-tast eller caps lock bliver brugt for at få stort bogstav.
  • Hvorvidt alle bogstaverne blev indtastet med jævne mellemrum, eller om der var længere pauser mellem bogstaver ved søgning efter et specielt bogstav.
  • Hvorvidt der blev tastet forkert, og hvordan tasteren gik tilbage for at rette dette, eller om der blev skrevet korrekt i første omgang.
  • Hvordan kan det hackes?

Patrick Bours fortæller at, at det, som det er nu, vil være vanskeligt at hacke sig ind på profiler, som benytter sig af statisk autentificering, selv ved brug af en ‘keylogger’ (et værktøj, som registrerer alt, som skrives på tastaturet) eller ‘rubber ducky’ (en USB-memeory stick, som enkelt kan omprogrammeres, så værtsmaskinen opfatter det som et ægte tastatur).

»En keylogger bliver normalt brugt til at finde ud af, hvad en person skriver, og på den måde finde ud af, hvilket password der bliver brugt, men her vil angriberen vide, hvordan passwordet er blevet skrevet ind. Hvis keyloggeren så også formår at finde ud af tasterytmen, sidder angriberen med al den nødvendige information for at overtage profilen.«

»Når det er sagt, viser vores tidligere eksperimenter, at det er ekstremt vanskeligt at genskabe en anden persons tasterytme, så der må angriberen benytte sig af anden software for at gøre det,« fortæller Bours.

»Et værktøj som rubber ducky kan måske bruges, men som den fungerer i dag, kan den kun finde ud af at skrive de rigtige taster, som blev brugt, men ikke selve rytmen. Betyder det, at et sådant værktøj ikke kan laves? Det er muligt, det er en for optimistisk antagelse.«

Derudover fortæller han, at han ser en stor sikkerhedsværdi i brugen af tastebiometri som kontinuerlig autentificering.

Kan identificere køn

»Kontinuerlig autentificering vil forhindre sessions-hacking, hvor en opportunistisk angriber finder et ulåst system og ønsker at misbruge det. Her vil angriberen øjeblikkeligt blive låst ude af systemet, da tasterytmen ikke stemmer overens med brugerens.«

»Her på universitetet er der i hvert fald mange systemer, som bliver forladt åbne og ulåste, og sådan er det også nok på mange arbejdspladser,« afslutter Bours.

Bours fortæller også, at tastebiometri ikke kun kan benyttes på tastaturer, men også på berøringsskærme.

Tastebiometri kan også bruges til at finde ud af, om det er en mand eller kvinde, som sidder ved tastaturet.

Tidligere rapporter og undersøgelser viser, at man med denne teknologi kan identificere kønnet på deb person, som taster, med over 95 procent træfsikkerhed. Den vigtigste faktor, der kan bidrage med at afsløre kønnet, er at se på forskellen mellem, hvor lang tid det tager at trykke på ‘N’- og ‘O’-tasterne.

Sådan gik det, da vi testede tastebiometri

Illustration: Skærmdump/digi.no

Undertegnede forsøgte sig med demoen til TypingDNA (en anden mulighed er KeyTrac) for at finde ud af, om jeg faktisk ville blive identificeret som mig selv.

Først skal man skrive en test-frase som grundlag for, hvordan du skriver bliver registreret. Derefter bliver man bedt om at indtaste en ny frase, og hvis måden, du skriver på, stemmer overens med grundlaget, vil identificeringen blive vellykket, og det var den her.

Ved andet forsøg gik procenten ned til 97, men senere forsøg viste alle 100 procent. Jeg bestod testen og skriver efter alle solemærker at dømme som mig selv.

Derefter testede jeg et par kolleger med mit tastegrundlag stadig i testen for at finde ud af, om softwaren kunne se, at det ikke var mig, som skrev. Han skrev frasen, men blev bedt om at forsøge igen. Forsøg nummer to gik ikke bedre, og det endte med nul procent match.

Så forsøgte chefen, og resultatet viste, at han skrev marginalt mere ligesom mig, men én procent kan vel ikke siges at være tæt på på nogen som helst måde. Det viser sig i hvert fald, at mine kolleger højst sandsynligt ikke ville kunne narre softwaren til at tro, at det var mig, som skrev.

Illustration: Skærmdump/digi.no

Senere testede jeg min jævnaldrende fætter baseret på det samme grundlag, og på det ene forsøg, han havde, fik han en 20 procent match. Nu ved jeg, at vi skriver relativt ens til at begynde med, og så er 20 procent måske ikke så højt endda. Baseret på forskellige tests kan det se ud, som om 70 procent er minimum for at blive godkendt hos TypingDNA.

Her kan du selv teste validiteten af tastebiometri.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere