Tolerance for typographical errors on password authentication securely via Keystroke Dynamics

Thumbnail Image

Files

master_Koistinen_Misamatti_2021.pdf (3.08 MB)

URL

Journal Title

Journal ISSN

Volume Title

Perustieteiden korkeakoulu | Master's thesis
Unless otherwise stated, all rights belong to the author. You may download, display and print this publication for Your own personal use. Commercial use is prohibited.

Authors

Date

2021-10-18

Department

Major/Subject

Security and Cloud Computing

Mcode

SCI3084

Degree programme

Master’s Programme in Computer, Communication and Information Sciences

Language

en

Pages

99 + 3

Series

Abstract

Text-based passwords have a firmly established status as the standard means for user authentication on computer systems, especially in online environments. Despite the high cognitive workload imposed by strict password policies, modern day users are acquiesced in using passwords due to their familiarity. However, the low usability of password authentication encourages users into adopting security-degrading coping strategies. One common source of user annoyance in password authentication is the rejection of logins due to typographical errors in the password. In this Thesis, a novel solution for implementing tolerance for typographical errors in text-based password authentication is proposed. Behavioral biometrics is used to accompany the regular user credentials with a keystroke dynamics sample recorded client-side within a web browser during the event of authentication. With classification results from biometric verification of the samples, a controlled amount of error-correction is applied to the submitted passwords via Reed-Solomon error-correcting codes in an attempt to repair a limited number of erroneous symbols. The proposed authentication system was prototyped and deployed as a web application to measure its performance with an experimental study. Quantitative analysis of the gathered results demonstrate a significant increase in password authentication usability when typo-tolerance is enabled. Using statistical classification of the keystroke dynamics samples and a Reed-Solomon codec with a maximum error-correction capacity of 3, approximately a third (33.03% - 41.80% depending on global parameters of the system) of the initially rejected misspelled logins are successfully rectified. Alternatively, the results suggest that typo-tolerance allows strengthening passwords by effectively doubling their length without diminishing usability in terms of rejected logins. While these implications are auspicious, the effects of human factors need more careful consideration in future research on the usability of password authentication.

Merkkijonoihin pohjautuvat salasanat ovat vakiinnuttaneet asemansa käyttäjäidentiteetin todentamisen eli autentikaation standardina tietokonejärjestelmissä, eritoten verkkoympäristössä. Monimutkaiset salasanan valintaohjeet kuitenkin kohdistavat käyttäjiin kognitiivista kuormitusta. Salasana-autentikaation alhainen käytettävyys kannustaa käyttäjiä toimintamalleihin, joilla on negatiivinen vaikutus tietoturvaan. Yksi salasana-autentikaation käytettävyyttä alentavista tekijöistä on todennuksen epäonnistuminen käyttäjän tekemän kirjoitusvirheen takia. Tässä työssä esitellään uudenlainen salasana-autentikaation malli, joka sallii salasanassa esiintyviä merkkivirheitä. Käyttäjätunnusten yhteyteen liitetään biometrinen näppäinpainallusten aikaleimoihin perustuva Keystroke Dynamics -näyte, joka mitataan verkkoselaimessa tunnistautumisen aikana. Näyte syötetään luokittelijaan, jonka tuloksen perusteella käyttäjän antamaan salasanaan kohdistetaan kontrolloidun virheenkorjauskapasiteetin Reed-Solomon virheenkorjauskoodi. Työssä esitellyn järjestelmäkuvauksen pohjalta kehitettiin prototyyppi, joka otettiin käyttöön verkkosovelluksena lyhyen mittausjakson ajaksi osana kokeellista tutkimusta. Kerätyn datan kvantitatiivinen analyysi osoittaa huomionarvoisen parannuksen salasana-autentikaation käytettävyydessä, kun merkkivirheitä salasanoissa sallitaan. Keystroke Dynamics -näytteiden tilastollisella luokittelulla ja maksimissaan kolmen merkkivirheen sallivan virheenkorjauskapasiteetin Reed-Solomon-koodeilla noin kolmannes (33.03% - 41.80% riippuen järjestelmän parametreista) alun perin evätyistä kirjoitusvirheellisistä autentikaatioyrityksistä korjataan onnistuneesti. Vaihtoehtoisesti tuloksista voidaan päätellä, että salasanojen pituus olisi mahdollista kaksinkertaistaa tietoturvan lisäämiseksi ilman käytettävyyden alenemista, kun käyttäjän tekemiä merkkivirheitä sallitaan. Vaikka nämä havainnot ovat hyväenteisiä, tulisi tulevaisuudessa tutkia tarkemmin inhimillisten tekijöiden vaikutusta salasana-autentikaation käytettävyyteen.

Description

Supervisor

Sigg, Stephan

Thesis advisor

Sigg, Stephan

Keywords

usable security, passwords, behavioural biometrics, keystroke dynamics, error-correcting codes, Reed-Solomon codes

Other note

Citation

Permanent link to this item

https://urn.fi/URN:NBN:fi:aalto-202110249702

Collections

[dipl] Perustieteiden korkeakoulu / SCI