Intelligent two-factor authentication – Deciding authentication requirements using historical context data

Loading...
Thumbnail Image
Journal Title
Journal ISSN
Volume Title
School of Science | Master's thesis
Date
2014
Major/Subject
Data Communications Software
Mcode
T3050
Degree programme
Language
en
Pages
116
Series
Abstract
This thesis is a case study of designing and implementing a more secure authentication service for Futurice Ltd., which is a medium-sized software consulting company. Majority of its employees are located in various client offices and need to access internally developed web services over the Internet. In this environment, single password authentication does not provide a sufficient level of security. The standard solution is to require a second authentication factor, such as one-time code in addition to the password. At Futurice, the old authentication service requested authentication once every 12 hours. These unnecessary interruptions annoy users, thus reducing their satisfaction with the tools. Furthermore, when performing complicated tasks, recovering from small interruptions may take several minutes. Deploying two-factor authentication has not been possible because of the increased negative effects of the interruptions. Therefore, the goal of this thesis is to minimize the number of authentication prompts the user encounters, while increasing the security by enabling two-factor authentication. The new two-factor authentication service presented in this thesis uses historical activity data to decide when the user should be reauthenticated. With the new system, reauthentication was requested approximately once per two weeks (on average), resulting in 90% reduction in the number of authentication prompts, without compromising security. Two-factor authentication is not required when there is other evidence from the context data that the user is authentic. A brief inspection of the EU and Finnish laws indicated that the data collection and processing for context based authentication is acceptable. Our results show that the time and effort spent on authentication processes can be reduced with relatively small effort. Similar results should be achievable in other companies and organizations. Thresholds for various algorithms may require tuning, and future work is needed to automate this.

Tässä diplomityössä esitellään Futurice Oy:lle suunniteltu ja toteutettu turvallisempi autentikaatiojärjestelmä. Futurice on keskisuuri ohjelmistokonsultointiyritys, jonka työntekijät käyttävät erilaisia sisäisesti kehitettyjä www-palveluita asiakkaiden tiloista. Tällaisessa ympäristössä pelkästään salasanaan perustuva autentikaatio ei tarjoa riittävän korkeaa turvallisuustasoa. Yleinen ratkaisu tähän on vaatia toinen autentikaatiovaihe, yleensä kertasalasanalla. Futuricen vanha autentikaatiojärjestelmä vaati salasanan joka 12. tunti. Tämä tarpeeton keskeytys ärsyttää käyttäjiä ja vähentää tyytyväisyyttä käytössä oleviin työkaluihin. Kun käyttäjät suorittavat monimutkaisia tehtäviä, lyhyistäkin keskeytyksistä palautuminen voi kestää useita minuutteja. Kaksivaiheisen autentikaation käyttöönotto ei ole ollut mahdollista, sillä se lisäisi entisestään keskeytysten haittoja. Tämän diplomityön tavoitteena on minimoida käyttäjän kohtaamat autentikaatiohaasteet, vaikka turvallisuutta parannetaan kaksivaiheisella autentikaatiolla. Tässä työssä esitelty kaksivaiheinen autentikaatiojärjestelmä käyttää aikaisempia aktiviteettitietoja käyttäjän aitouden arviointiin. Uusi järjestelmä vaati uudelleenautentikoinnin keskimäärin noin kerran kahdessa viikossa. Tämä on 90% vähennys autentikaatiohaasteisiin -- ilman turvallisuuden vaarantumista. Kaksivaiheista autentikaatiota vaaditaan, kun tiedot kirjautumisyrityksestä eivät tue riittävästi käyttäjän aitoutta. Lyhyt katsaus EU:n ja Suomen lainsäädäntöön osoitti, että tällaiselle tietojen keräykselle ja käsittelylle kontekstiin perustuvassa autentikaatiossa ei ole esteitä. Tämän diplomityön tulokset osoittavat, että autentikaatioon tarvittavaa aikaa ja vaivaa voi vähentää suhteellisen yksinkertaisilla menetelmillä. Muissa yrityksissä ja organisaatioissa pitäisi olla mahdollista saavuttaa vastaavia tuloksia. Eri algoritmien raja-arvojen ympäristökohtainen optimointi pitäisi olla automatisoitavissa, mutta tämän selvittäminen vaatii jatkotutkimusta.
Description
Supervisor
Aura, Tuomas, Prof., Aalto University, Department of Computer Science and Engineering, Finland
Thesis advisor
N. Asokan, Prof., Aalto University, Department of Computer Science and Engineering, Finland
Keywords
two-factor authentication, progressive authentication, risk-based authentication, kaksivaiheinen autentikaatio, älykäs autentikaatio, riskianalyysiin perustuva autentikaatio
Other note
Citation