Intelligent two-factor authentication – Deciding authentication requirements using historical context data

Thumbnail Image

Files

master_jarva_olli_2014.pdf (1.21 MB)

URL

Journal Title

Journal ISSN

Volume Title

School of Science | Master's thesis
Unless otherwise stated, all rights belong to the author. You may download, display and print this publication for Your own personal use. Commercial use is prohibited.

Authors

Date

2014

Department

Tietotekniikan laitos
Department of Computer Science and Engineering

Major/Subject

Data Communications Software

Mcode

T3050

Degree programme

Language

en

Pages

116

Series

Abstract

This thesis is a case study of designing and implementing a more secure authentication service for Futurice Ltd., which is a medium-sized software consulting company. Majority of its employees are located in various client offices and need to access internally developed web services over the Internet. In this environment, single password authentication does not provide a sufficient level of security. The standard solution is to require a second authentication factor, such as one-time code in addition to the password. At Futurice, the old authentication service requested authentication once every 12 hours. These unnecessary interruptions annoy users, thus reducing their satisfaction with the tools. Furthermore, when performing complicated tasks, recovering from small interruptions may take several minutes. Deploying two-factor authentication has not been possible because of the increased negative effects of the interruptions. Therefore, the goal of this thesis is to minimize the number of authentication prompts the user encounters, while increasing the security by enabling two-factor authentication. The new two-factor authentication service presented in this thesis uses historical activity data to decide when the user should be reauthenticated. With the new system, reauthentication was requested approximately once per two weeks (on average), resulting in 90% reduction in the number of authentication prompts, without compromising security. Two-factor authentication is not required when there is other evidence from the context data that the user is authentic. A brief inspection of the EU and Finnish laws indicated that the data collection and processing for context based authentication is acceptable. Our results show that the time and effort spent on authentication processes can be reduced with relatively small effort. Similar results should be achievable in other companies and organizations. Thresholds for various algorithms may require tuning, and future work is needed to automate this.

Tässä diplomityössä esitellään Futurice Oy:lle suunniteltu ja toteutettu turvallisempi autentikaatiojärjestelmä. Futurice on keskisuuri ohjelmistokonsultointiyritys, jonka työntekijät käyttävät erilaisia sisäisesti kehitettyjä www-palveluita asiakkaiden tiloista. Tällaisessa ympäristössä pelkästään salasanaan perustuva autentikaatio ei tarjoa riittävän korkeaa turvallisuustasoa. Yleinen ratkaisu tähän on vaatia toinen autentikaatiovaihe, yleensä kertasalasanalla. Futuricen vanha autentikaatiojärjestelmä vaati salasanan joka 12. tunti. Tämä tarpeeton keskeytys ärsyttää käyttäjiä ja vähentää tyytyväisyyttä käytössä oleviin työkaluihin. Kun käyttäjät suorittavat monimutkaisia tehtäviä, lyhyistäkin keskeytyksistä palautuminen voi kestää useita minuutteja. Kaksivaiheisen autentikaation käyttöönotto ei ole ollut mahdollista, sillä se lisäisi entisestään keskeytysten haittoja. Tämän diplomityön tavoitteena on minimoida käyttäjän kohtaamat autentikaatiohaasteet, vaikka turvallisuutta parannetaan kaksivaiheisella autentikaatiolla. Tässä työssä esitelty kaksivaiheinen autentikaatiojärjestelmä käyttää aikaisempia aktiviteettitietoja käyttäjän aitouden arviointiin. Uusi järjestelmä vaati uudelleenautentikoinnin keskimäärin noin kerran kahdessa viikossa. Tämä on 90% vähennys autentikaatiohaasteisiin -- ilman turvallisuuden vaarantumista. Kaksivaiheista autentikaatiota vaaditaan, kun tiedot kirjautumisyrityksestä eivät tue riittävästi käyttäjän aitoutta. Lyhyt katsaus EU:n ja Suomen lainsäädäntöön osoitti, että tällaiselle tietojen keräykselle ja käsittelylle kontekstiin perustuvassa autentikaatiossa ei ole esteitä. Tämän diplomityön tulokset osoittavat, että autentikaatioon tarvittavaa aikaa ja vaivaa voi vähentää suhteellisen yksinkertaisilla menetelmillä. Muissa yrityksissä ja organisaatioissa pitäisi olla mahdollista saavuttaa vastaavia tuloksia. Eri algoritmien raja-arvojen ympäristökohtainen optimointi pitäisi olla automatisoitavissa, mutta tämän selvittäminen vaatii jatkotutkimusta.

Description

Supervisor

Aura, Tuomas, Prof., Aalto University, Department of Computer Science and Engineering, Finland

Thesis advisor

N. Asokan, Prof., Aalto University, Department of Computer Science and Engineering, Finland

Keywords

two-factor authentication, progressive authentication, risk-based authentication, kaksivaiheinen autentikaatio, älykäs autentikaatio, riskianalyysiin perustuva autentikaatio

Other note

Citation

Permanent link to this item

https://urn.fi/URN:NBN:fi:aalto-201406182130

Collections

[dipl] Perustieteiden korkeakoulu / SCI