CC BY
2УДК 004.056.53
Турсынбеков М.
магистрант
Казахстанско-Британский технический университет (г. Алматы, Казахстан)
ЭФФЕКТИВНАЯ ПРОВЕРКА QR-КОДА ДЛЯ ПРЕДОТВРАЩЕНИЯ ПОДМЕНЫ В СИСТЕМАХ АУТЕНТИФИКАЦИИ
Аннотация: для дальнейшего развития информационных систем необходимо осуществлять усовершенствование систем защиты аутентификации входов. Существующие методы входа за счет традиционных паролей, маркеров аутентификации не гарантируют высокий уровень безопасности. Другим направлением в повышении уровня безопасности при аутентификации является внедрение кода быстрого отклика ^Я). Однако проблема безопасности не решена и происходит утечка данных, связанная со слабой защитой систем через QR-коды. В исследовании рассматривается проблема повышения цифровой аутентификации за счет использования QR-кодов. В статье подтверждена возможность повышения уровня защиты информационной системы через QR-вход. На основе теоретического анализа применения QR-кодов в повышении уровня безопасности информационных систем разработан алгоритм проверки QR-кодов при аутентификации самого кода на вход в систему. Разработанный алгоритм по использованию из уникальных свойств QR-кода позволяет снизить риск несанкционированного входа и обеспечивает более высокую надежность допуска личного пользователя. Тестирование данного алгоритма отметило возможность повышения безопасности за счет графического изображения, цифровой подписи и водяных знаков. В целом уровень эффективности составил около 99%. Однако проблемой остается сбой аутентификации QR-кода из-за некачественного нанесения QR-кода в изображении и на поверхности.
Ключевые слова: уровень безопасности, QR-код, алгоритм проверки QR-кода, системы аутентификации.
Введение.
В современную цифровую эпоху безопасные методы аутентификации стали играть решающую роль в обеспечении защиты конфиденциальной информации и предотвращении несанкционированного доступа. Традиционные методы аутентификации, такие как пароли и токены, оказались уязвимы для различных атак, включая фишинг, атаки "человек посередине" и атаки повторного воспроизведения. Внедрение в систему аутентификации кодов быстрого отклика (QR) стало популярной и доступной для массового использования. Они представляют собой матричный штрих-код, который легко сканируется мобильными устройствами, оснащенными камерами, что обеспечивает быструю и бесперебойную передачу данных. Однако широкое распространение QR-кодов также сделало их привлекательной мишенью для злоумышленников, стремящихся использовать уязвимости и участвовать в атаках-подменах.
Цель исследования - оценка возможности улучшения проверки QR-кодов в системе аутентификации входа в информационные системы.
Согласно цели поставлены следующие задачи:
1. Разработка алгоритма проверки QR-кодов для повышения уровня безопасности и защиты информационной системы от поддельных QR-кодов
2. Оценка точности в определении достоверности QR-кодов при использовании алгоритма аутентификации QR-кода.
Обзор литературы.
Повышение уровня безопасности в системе аутентификации стало возможным благодаря внедрению QR-кодов. Одной из первых работ в этой области является безопасная система РЯ платежей, предложенная Джейси Ли, Чанг-Хюн Чо и Мун-Сеог Джун [1]. Они реализовали безопасную платежную систему на основе QR-кода с использованием мобильных устройств. Хотя основное внимание было уделено платежным операциям, их выводы
способствуют пониманию безопасной передачи конфиденциальной информации с помощью QR-кодов. В статье ограниченно обсуждаются потенциальные проблемы и ограничения системы. Другая связанная работа Дэвида Пинтора Маэстре [2] представляет собой разработку и внедрение QRP, системы аутентификации с открытым исходным кодом, которая сочетает в себе пароль и мобильный телефон с камерой в качестве маркера аутентификации. Такой подход к двухфакторной аутентификации повышает безопасность за счет шифрования хранимой и передаваемой конфиденциальной информации [3-6]. Еще один протокол безопасной аутентификации, основанный на QR-коде, был представлен Дже Сик Ли, Хан На Ю, Чан Хюн Чо и Мун Сеог Джун [7]. Их протокол обеспечивает безопасность критически важных данных на смарт-устройствах, гарантируя безопасную проверку пользователя даже при наличии неизвестных атак. Он предоставляет пользователям возможность безопасно выполнять на своих устройствах такие важные задачи, как финансовые операции. Для решения проблемы безопасной аутентификации в онлайн-банкинге Ян Сил Ли, Нак Хен Ким, Хетаек Лим, Хонгкук Джо и Хонг Дже Ли [8] предложили систему аутентификации в онлайн-банкинге с использованием мобильных одноразовых паролей (OTP) с QR-кодами. Их схема была направлена на обеспечение надежной аутентификации при одновременном обеспечении удобства использования, доступности и портативности. В исследовании отсутствует эмпирическая оценка или реализация предложенной системы в реальных условиях.
Инновационный подход к аутентификации и проверке транзакций с помощью QR-кодов, представленный в исследовании Ян Вай Чоу, Вилли Сусило, Гуомин Ян, Ман Хо Ау и Конг Ванг [9], обеспечивает удобство и простоту использования для пользователей. Использование надежного мобильного устройства повышает безопасность, снижая такие риски, как кража пароля и атаки типа "человек посередине". Однако в исследовании не дается детальная оценка предложенного подхода, что ограничивает оценку его
эффективности и практичности. Кроме того, подробно не рассмотрены проблемы внедрения и развертывания системы.
В другом исследовании Кима [10] предложена схема аутентификации по QR-коду на основе геолокации для защиты от фишинговых атак в режиме реального времени. Этот метод использует местоположение пользователя для аутентификации пользователя и предотвращения фишинговых атак. Kyeongwon Choi, Changbin Lee, Woongryul Jeon, Kwangwoo Lee и Dongho Won [11] представили схему антифишинговой аутентификации на базе мобильных устройств с использованием QR-кодов. Их схема обеспечивает дополнительный уровень безопасности для защиты пользователей от фишинговых атак, используя QR-коды в качестве механизма аутентификации. В статье не приводится всесторонняя оценка эффективности предложенной схемы в предотвращении фишинговых атак. Анализ, проведенный Котом и Саратовским [12], выявил необходимость создания безопасной схемы аутентификации для противодействия различным видам фишинговых атак. Предложенная ими схема аутентификации, основанная на QR-кодах и изображениях с веб-камер, предлагает пользователям удобный и безопасный способ входа в свои аккаунты, не полагаясь на традиционные пароли или маркеры аутентификации. Rifa -Pous [13] предложил схему OTP на основе запроса-ответа, которая сочетает симметричную криптографию с аппаратным модулем безопасности. Этот протокол повышает безопасность, защищая пароли от кейлоггеров и фишинговых атак, что делает его пригодным для безопасной аутентификации в различных приложениях, включая электронные банковские услуги. В статье отсутствует комплексная оценка предложенной системы, включая анализ производительности и проблемы развертывания в реальном мире.
На основании обзора литературы и исследований в этой области аутентификация на основе QR-кодов является перспективным подходом к аутентификации без пароля. Однако этот подход имеет ряд потенциальных ограничений, которые необходимо учитывать [14-18]. Одно из основных ограничений аутентификации на основе QR-кодов заключается в том, что она
подвержена таким атакам, как подмена QR-кода. Поддельные атаки включают в себя создание поддельных или вредоносных QR-кодов с целью обмана пользователей и принуждения их к предоставлению конфиденциальной информации или выполнению несанкционированных действий [19-20]. Такие атаки могут привести к серьезным последствиям, включая финансовые потери, кражу персональных данных и несанкционированный доступ к личным счетам. Поэтому крайне важно разработать эффективные механизмы проверки QR-кодов, способные обнаруживать и предотвращать спуфинг-атаки в системах аутентификации. Поэтому наряду с аутентификацией по QR-коду необходимо применять дополнительные меры безопасности.
Материалы и методы.
Теоретическую базу исследования составили фундаментальные положения в формировании алгоритмов и методик. Общефилософский метод позволил упорядочить расширение собственных взглядов и выводов существующих подходов в объяснении эффективности применения QR-кодов. Методы систематизации позволили сформировать табличные и графические объяснения исследования. Сравнительный метод применялся для соотношения подлинных и поддельных QR-кодов. Метод детализации и синтеза позволил изучить предмет исследования и рассмотреть взаимосвязь развития отдельных составных частей и факторов влияния на аутентификацию QR-кодов.
Были собраны данные из 10000 QR-кодов в сфере ссылок заказов на покупку товаров, а также QR-коды, нанесенные на различные материальные носители, а именно:
- бумажные носители на гладкой поверхности,
- бумажные носители на гофрированной/рифленой поверхности,
- действующие QR-коды с монитора,
- наклеенный бумажный вариант на гладкую пластиковую основу,
- наклеенный бумажный вариант на гофрированную/рифленую пластиковую поверхность.
Соотношение базовых кодов составляло: 75% действительных кодов, 25% ложных, 65% - коды с мониторов, 45% - с бумажных носителей. Из бумажных носителей - на гладкой поверхности, включая пластиковую гладкую поверхность - 85%, на бумажном варианте на гофрированной/рифленой пластиковой поверхности - 15%.
Для оценки достоверности QR-кода применены следующие методы: предупреждение ошибок, обнаружение ошибок и устойчивость к ошибкам, метод изоляции для повышения работоспособности разработанного алгоритма.
Основные положения.
Наиболее массовой проверкой пользователя по пропуску в электронные системы является QR-кодовый принцип, который достаточно быстро и без лишних требований допускает пользователя к информационному наполнению соответствующей цифровой системы. Вместе с тем данный подход выдвигает определенные ограничения. Среди них основным является возможность восприятия поддельного QR-кода как базового. Поэтому механизм вхождения в систему из-за взлома QR-кодов осуществляется за счет кибератак, которые через логическую систему методом проб и ошибок формируют поддельный QR код.
Логика оценки надежности QR кода по аутентификации предполагает прохождение определенных основных этапов (рис. 1). Первый этап - это сбор репрезентативной выборки QR-кодов. Выборка должна включать подлинные и мошеннические входы. При этом верификация входа оценивается с позиции точности, скорости и надежности и обеспечивается достоверностью проведения анализа и выявления перспективы развития в аутентификации через QR-код.
Второй этап - это анализ данных, предполагающий прохождение двух отдельных степеней. Первый - выбор методов проверки по анализу множества данных QR кода. Он может включать действующие алгоритмы и статистические
методы в выявлении закономерностей, аномалий и различий между подлинными и поддельными кодами. При этом может быть применен отдельный подход -система моделирования возможностей взлома QR-кодов. Данная модель и ее сложность будет зависеть от конкретных задач защиты цифровой системы. Вторая степень - это непосредственный предварительный анализ данных, целью которого является получение предварительного перечня факторов и отдельных ключевых факторов, позволяющих проводить аутентификацию QR-кода. Выделяются соответствующие метрики для оценки этих факторов.
1. Первый зтап - сбор репрезентативной выборки ф!К. кодов
2. Второй зтап - анализ данных 2.1. выбор методов проверки енелкзе множества данных рЕ. кода ^Л непэ^редяЕенный предварительный енелкз данный
Третий зтап - сравнение (с критериями соответствия заданные нараметрам проверки (валидапид)) 3.1. Определение н^Ээр! критериев проверки 5.2. Сравнительный енелиз £-
4. Четвертый зтап - формирование алгоритма л о аутентификации ОБ-кода 4.1. Рьзр^Зэтьи соответствующей структуры ^.2. Нгпэсргдлвеншя р^зр^Элш Елг?рш?,:5Е и процедур
5, Пятый зтап - оценка производительности тестовой платформы
ч
б. Шестой зтап - совершенствование и доработка разработанного алгоритма в определении подлинности фЯ-кода 6.1. Выявление недэстпъэв и ограничений 5.2. тактика усовершенствования 6.5. пронесс нтераши —
Выход
в сэгтЕетянии г з:д:нны1.:и условиями безопасности
Рис. 1. Алгоритм оценки эффективности аутентификации входа
по QR коду.
Третий этап - это сравнение с критериями соответствия заданным параметрам проверки (валидация). Происходит прохождение двух степеней. Во-первых, определение набора критериев проверки, задающих алгоритм для проведения самой проверки подлинности рЯ-кода. Критерии проверки определяются соответствующим уровнем стандарта безопасности системы, отраслевыми подходами и конкретными требованиями заинтересованных сторон в защите системы. Во-вторых - сравнительный анализ, предусматривающий сравнение результатов, содержащихся в результате осуществленных подходов проверки с конкретно заданными критериями проверки. То есть осуществляется оценка эффективности, результативности и точности подходов в выявлении поддельных и действительных QR-кодов.
Четвертый этап - формирование алгоритма по аутентификации рЯ-кода. Данный этап предполагает прохождение трех степеней. Первая степень - это разработка соответствующей структуры, которая должна описать определяющие факторы по аутентификации рЯ-кода через выявленные закономерности и отличительные особенности факторов прохождения аутентификации. Эта степень осуществляется на основе анализа данных и сравнительного анализа. Вторая степень - непосредственная разработка алгоритмов и процедур, гарантирующая конечную структуру аутентификации. Могут быть использованы математические методы в формировании соответствующих алгоритмов, а также методы обработки графических изображений и методик машинного обучения. Допускается применение других действующих методологий. Третья степень - определение соответствующих показателей по оценке эффективности разработанного подхода к аутентификации QR-кода. Показатели должны ориентироваться по критериям точности, скорости, надежности и устойчивости к разным видам поддельных QR-кодов.
Пятый этап - оценка производительности, включающая создание тестовой платформы, осуществляющей оценку эффективности созданного алгоритма в определении подлинности QR-кода. Соответствующая платформа должна включать в себя набор данных QR-кодов и соответствующих им методик
оценки. Кроме того, этот этап включает в себя формирование метрики производительности, которая будет определять скорость и надежность аутентификации через соответствующие показатели. Фактически анализируются результаты и оценивается эффективность алгоритма аутентификации QR-кода.
Шестой этап - усовершенствование и доработка разработанного алгоритма, включающего выявление недостатков и ограничений на разработанном алгоритме аутентификации QR-кода через проведенные результирующие оценки. Вторая степень этого этапа - тактика совершенствования, предусматривающая улучшение и уточнение алгоритма проверки с целью ограничения и устранения недостатков и повышения производительности аутентификации по QR-коду. Третья степень - процесс итерации, то есть повторяющегося применения системы усовершенствования через уточнение и изменение критериев с целью достижения поставленного уровня точности, скорости и надежности.
По описанной методике был проведен анализ 10000 QR-кодов. Данная проверка указала следующие результаты (табл. 1).
Таблица 1. Анализ эффективности существующих подходов к проверке.
Подходы верификации Точность подхода Надежность подхода Комментарий
Анализ изображений >90% Достаточно высокая оценка при качественном изображения QR-кода Могут быть проблемы с ложноположительными при низком качестве ОЯ-кода
Водяной знак >99% Высокая Низкий уровень ложноположительных и ложноотрицательных результатов
Подходы верификации Точность подхода Надежность подхода Комментарий
Цифровая подпись >99% Очень высокая Низкий уровень ложноположительных и ложноотрицательных результатов
Точность и производительность предлагаемого анализа действительности ОЯ-кода осуществляется за счет главного фактора - качества изображения QR-кода. Негативные результаты в основном возникают за счет проблемного изображения QR-кода (низкое качество изображения и несоответствующая база нанесения кода). Кроме того, оценка верификации за счет цифровых подписей является трудоемким процессом и требует применения дополнительного программного обеспечения. Более быстрые процессы идентификации QR кодов отмечены на основе водяных знаков, однако такая проверка требует дополнительного применения специальных программных средств.
Результаты и обсуждение.
Результаты исследования - оценка достоверности QR-кодов через автоматизированный алгоритм. Точность оценки действительных изображений ОЯ-кодов достаточно высока (более 90%). Сбои, возникавшие в процессе проведенной верификации, обусловлены исключительно некачественным изображением QR-кодов нанесенных на гофрированную/рифленую пластиковую поверхность. При этом скорость оценки достоверных QR-кодов достаточно высока: 1,5-3 с.
В целом созданный алгоритм аутентификации QR-кода обеспечил снижение вероятности несанкционированного доступа к соответствующим сайтам и информационным системам. Кроме того, обеспечил точность разграничения подлинных и поддельных QR-кодов. Из всех действительных QR-кодов наблюдалось лишь два сбоя из-за некачественного изображения.
Проведенное исследование подтверждает поставленную задачу повышения эффективности в оценке и проверке подлинных QR-кодов.
Перспектива дальнейших исследований в данном направлении отмечает, что необходимо сконцентрировать внимание в широком применении для обеспечения безопасности QR-кодов в сфере маркетинга, рекламы, анализа потребительского выбора. Для более серьезных информационных систем с высоким уровнем безопасности (банковская сфера, финансы) необходимы дополнительные исследования и ввод дополнительных входных параметров в разработанный алгоритм.
Заключение.
Результаты исследования отметили, что повышение безопасности входа по QR-коду возможно решать за счет простого алгоритма, который формировался на основе графического изображения, цифровой подписи и водяных знаков. В целом уровень эффективности составил более 99%. Проблемой остается сбой аутентификации QR-кода, нанесенного на некачественное бумажное основание, и негладкую пластиковую поверхность. Дальнейшее исследование возможно за счет дополнительного привлечения финансовых и банковских организаций и конкретизации высокого уровня показателей безопасности.
СПИСОК ЛИТЕРАТУРЫ:
1. Lee, J., Cho, C.-H. and Jun M.-S. Secure quick response-payment(qrpay) system using mobile device. 13th International Conference on Advanced Communication Technology (ICACT2011), p. 1424-1427;
2. Maestre, D. P. Qrp: An improved secure authentication method using qr codes, (2012);
3. Konoth, R.K., Fischer, B., Fokkink, W.J., Athanasopoulos, E., Razavi, K., Bos, H.: Securepay: Strengthening two-factor authentication for arbitrary transactions. 11E
E E European Symposium on Security and Privacy, EuroS&P (Genoa, Italy, September 7-11, 2020), p. 569-586;
4. Kim, S.K., Chung, M.G.: More secure remote user authentication scheme. Computer Communications 32(6), 1018-1021 (2009);
5. Md Jakir Hossain, Chunxiang Xu, Chuang Li, S.M. Hasan Mahmud, Xiaojun Zhang, Wanpeng Li, ICAS: Two-factor identity-concealed authentication scheme for remote-servers, Journal of Systems Architecture, 117 (2021). https://doi.org/10.10167j.sysarc.2021.102077;
6. Suleski T, Ahmed M, Yang W, Wang E. A review of multi-factor authentication Internet of Healthcare Things. Digit Health. 22,9 (2023). https://doi.org/10.1177/20552076231177144;
7. J.-S. Lee, H.-N. You, C.-H. Cho, and M.-S. Jun, A design secure qr-login user authentication protocol and assurance methods for the safety of critical data using smart device, The Journal of Korean Institute of Communications and Information Sciences, 37C, 949-964 (2012). http://dx.doi.org/10.7840/kics.2012.37C.10.949;
8. Y. S. Lee, N. H. Kim, H. Lim, H. Jo, and H. J. Lee, Online banking authentication system using mobile-otp with qr-code. 5th International Conference on Computer Sciences and Convergence Information Technology, (2010), p. 644-648;
9. Y. W. Chow, W. Susilo, G. Yang, M. H. Au, and C. Wang, Authentication and transaction verification using QR codes with a mobile device Lecture Notes in Computer Science (including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics), 10066 LNCS, 437-451, (2016). https://link.springer.com/chapter/10.1007/978-3-319-49148-6 36;
10. S. H. Kim, D. Choi, S. H. Jin, and S. H. Lee, Geo-location based qr-code authentication scheme to defeat active real-time phishing attack, Proceedings of the ACM Conference on Computer and Communications Security (2013), 51-61. https://dl.acm.org/doi/10.1145/2517881.2517889;
11. K. Choi, C. Lee, W. Jeon, K. Lee, and D. Won, A mobile based anti-phishing authentication scheme using qr code, International Conference on Mobile IT Convergence (2011), p. 109-113;
12. O. I. Kot and I. I. Svatovskiy, Analysis of the authentication scheme based on the use of qr-code and webcam for smart-mobile devices, Bulletin of V.N. Karazin Kharkiv National University, series Mathematical modeling. Information technology. Automated control systems 9, 35-52 (2020). https://doi.org/10.26565/2304-6201-2020-47-04;
13. H. Rif a-Pous, A secure mobile-based authentication system for e-banking, Lecture Notes in Computer Science (including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics), 5871 LNCS, 848-860, (2009). https://link.springer.com/chapter/10.1007/978-3-642-05151-77;
14. Riccardo Focardi, Flaminia L. Luccio, Heider A.M. Wahsheh, Usable security for QR code, Journal of Information Security and Applications, 48, (2019). https://doi.org/10.1016/jjisa.2019.102369;
15. Sharara S, Radia S. Quick Response (QR) codes for patient information delivery: A digital innovation during the coronavirus pandemic. Journal of Orthodontics. 49(1), 89-97 (2022). https://doi.org/10.1177/14653125211031568;
16. Skurowski, P., Nurzynska, K., Pawlyta, M., Cyran, K.A. Performance of QR Code Detectors near Nyquist Limits. Sensors, 22, 7230 (2022). https://doi.org/10.3390/s22197230;
17. Borky JM, Bradley TH. Protecting Information with Cybersecurity. Effective Model-Based Systems Engineering 9, 345-404 (2018). https://doi.org/10.1007/978-3-319-95669-5_10;
18. Hossain MS, Zhou X, Rahman MF. Examining the impact of QR codes on purchase intention and customer satisfaction on the basis of perceived flow. International Journal of Engineering Business Management. 2018,10. https://doi.org/10.1177/1847979018812323;
19. K. Jindal, S. Dalal and K. K. Sharma, "Analyzing Spoofing Attacks in Wireless Networks," 2014 Fourth International Conference on Advanced Computing & Communication Technologies (Rohtak, India, 2014), p. 398-402, https://doi.org/10.1109/ACCT.2014.46;
20. P Ramesh Babu, D.Lalitha Bhaskari and CH.Satyanarayana, A Comprehensive Analysis of Spoofing, International Journal of Advanced Computer Science and Applications(IJACSA), 1(6), (2010).
http://dx.doi.org/10.14569/IJACSA.2010.010623
Tursynbekov M.
Kazakh-British Technical University (Almaty, Kazakhstan)
EFFECTIVE QR CODE VERIFICATION FOR PREVENTING SPOOFING IN AUTHENTICATION SYSTEMS
Abstract: for the further development of information systems, it is necessary to improve login authentication security systems. Existing login methods using traditional passwords and authentication tokens do not guarantee a high level of security. Another direction in increasing the level of security during authentication is the introduction of Quick Response proposed. However, the security problem has not been solved and data leakage occurs due to weak security ofsystems through QR codes. The study addresses the issue of enhancing digital authentication through the use of QR codes. The article confirms the possibility of increasing the level of security of an information system through a QR input. Based on a theoretical analysis of the use of QR codes in increasing the level of security of information systems, an algorithm has been developed for checking QR codes when authenticating the code itself to enter the system. The developed algorithm for using the unique properties of the QR code reduces the risk of unauthorized entry and ensures higher security of access for the personal user. Testing of this algorithm noted the possibility of increasing security through graphic images, digital signatures and watermarks. Overall, the effectiveness rate was about 99%. However, the problem remains the failure of QR code authentication due to poor-quality application of the QR code in the image and on the surface.
Keywords: security level, QR code, QR code verification algorithm, authentication systems.
