Ett nytt system utvecklat av forskare vid Cornell Tech hjälper användare att upptäcka när deras onlinekonton har komprometterats – utan att deras personliga enheter utsätts för invasiv spårning av webbtjänster.
Forskarna presenterade systemet, som kallas Client-Side Encrypted Access Logging (CSAL), vid USENIX Security Symposium den 15 augusti i Seattle. Dess ”integritetsfokuserade” metod verifierar om en inloggning kommer från användarens egen enhet, vilket åtgärdar en brist i hur stora plattformar som Google och Facebook för närvarande loggar kontoåtkomst.
Det nya systemet kan vara särskilt användbart för användare som löper ökad risk för riktade cyberattacker, såsom journalister, aktivister och offentliga personer, som behöver verifiera kontoaktivitet, säger forskarna. Studien motiverades av författarnas arbete med överlevare av våld i nära relationer vid Cornell Techs Clinic to End Tech Abuse (CETA). Överlevares säkerhet är ofta beroende av att de vet om och när deras partners har haft tillgång till deras konton.
Forskningen leddes av Carolina Ortega Pérez och Alaa Daffalla, båda doktorander i datavetenskap, och Thomas Ristenpart, professor vid Cornell Tech och Cornell Ann S. Bowers College of Computing and Information Science. Teamet fann att befintliga åtkomstloggar är beroende av klientdata – såsom enhetsidentifierare och IP-adresser – som angripare lätt kan förfalska. Även efter att ett konto har komprometterats kan loggarna felaktigt antyda att inloggningen kom från en bekant enhet.
”För användare i riskzonen kan en incident där kontot komprometteras vara livshotande. Verktyg som CSAL ger dessa användare möjlighet att diagnostisera olaglig åtkomst till sina onlinekonton, vilket är avgörande för deras säkerhet”, säger Daffalla.
CSAL erbjuder ett kryptografiskt alternativ. Istället för att skicka klientdata till tjänsteleverantörer krypterar systemet dem från slutpunkt till slutpunkt med hjälp av en nyckel som endast är känd för klientens enheter. Vid inloggning genererar klientens operativsystem en kryptografisk token som innehåller enhetsidentifierare, som krypteras från slutpunkt till slutpunkt och lagras av tjänsteleverantören, vilket säkerställer att endast användaren senare kan dekryptera och verifiera inloggningens ursprung.
Detta tillvägagångssätt gör det möjligt för användare att upptäcka obehörig åtkomst utan att avslöja sin identifierande information för den plattform de använder. Det undviker också behovet för plattformar att samla in och lagra detaljerade enhetsfingeravtryck, som ofta används för spårning, säger teamet.
Forskningen visar hur detta system kan integreras i befintliga autentiseringsarbetsflöden med minimal extra kostnad. Systemet är också kompatibelt med allmänt använda säkerhetsprotokoll, vilket gör det möjligt för större plattformar att använda det, säger forskarna. Genom att ompröva hur åtkomstloggar genereras och tolkas erbjuder CSAL en lovande väg framåt för att balansera säkerhet och integritet i digital kontohantering, säger teamet.
Mer information: Krypterad åtkomstloggning för onlinekonton: Enhetsattributioner utan enhetsspårning: www.usenix.org/conference/usen … ntation/ortega-perez
