利用浏览器指纹识别，加强Web认证

利用浏览器指纹识别，加强Web认证AntO nI n Durey2022年 1月14日里尔大学因里亚中心CRIStAL实验室MADIS博士学校主管：Romain ROUVOY -教授Walter RUDAMETKIN-人类发展报告副教授陪审团：Marc TOMMASI-里尔大学教授-校长Olivier BARAIS-雷恩大学教授1- 评审员Sonia BEN MOKTHAR-Gunes ACAR-Utiliser加强因特网认证的导航员协会AntO nI n Durey2022年1月14日里尔大学中心MADIS博士学校主管：Romain ROUVOY-BARSEURWalter RUDAMETKIN陪审团：Marc TOMMASI- Rennes大学校长Olivier BARAIS-Rennes大学特别报告员Sonia BEN MOKTHAR-Gunes ACAR-确认我要感谢所有帮助我实现这一论点和撰写这篇手稿的人首先，我要感谢我的导演罗曼·鲁珀特和沃尔特·鲁达梅特金。很高兴能与你们分享想法，并收到你们的意见和建议。谢谢你，Pierre Laperdrix，谢谢你一起完成的所有工作，以及我们一起进行我要感谢螺旋团队的所有成员，特别是Lionel Seinturier，Laurence Duchien，Antoine Vastel，Vikas Mishra，Rémy Raes，Guillaume Fieni和Sarra Habchi。在我的博士学位期间，我有机会在一个真实的系统中研究身份验证解决方案。感谢Didier Benza、Anne Combe、Jérôme Berthier、Quentin Laize和Florent Derudas在这个项目上与我合作，让我在这些经历中获得有趣的结果。感谢我在博士期间所做的额外活动中遇到的所有人：Yann Secq和FabienDelecroix在教学时，Ludovic Macaire在担任博士代表时。博士学院的学生和我在担任里尔科学协会ADSL-Ph.D学生主席感谢你们，Pierre Bourhis，Iovka Boneva和Sophie Tison，在我硕士期间监督我的实习和我的研究结束项目，当时你们鼓励我攻读博士学位。谢谢你，马丁·蒙佩鲁斯，也是你激励我去读博士在我的主人。最后，我要感谢我的姐妹、父母和朋友。你的支持是必不可少的，在这次冒险，并给予额外的动力，在整个旅程。摘要Web上的安全性是任何用户的主要关注点，而身份验证解决方案（如多因素身份验证）会对用户体验产生负面影响，并增加成本和复杂性，这可能会阻止用户更好地接受和更广泛地部署。浏览器指纹识别是一种无状态和无权限的技术，它收集有关用户设备、操作系统、浏览器和配置的信息虽然它主要是从跟踪的角度进行研究的，但它的属性使它在安全性方面，更具体地说，在Web身份验证方面非常有趣。在这篇论文中，我提供了三个主要贡献：• 我手动浏览了446个网站上的1485个页面，并在网站的敏感页面上测量了指纹收集，比如注册和登录页面。我评估了这些网站对两种类型的攻击，被盗凭据和cookie劫持的弹性，并表明指纹识别，尽管它的潜力，几乎没有用来防止这些攻击。• 我在受控环境中收集指纹，以精确测量提供有趣的唯一性和稳定性的属性。利用这些知识设计并实现了一个用于Web认证的指纹链接算法，并在64235个浏览器实例中收集的952828个指纹数据集上进行了验证，结果表明该算法是可靠的，并且与链接指纹相关• 设计并实现了一个利用浏览器指纹技术增强Web认证的认证方案我在一个有82个用户的集中式认证服务器上评估了该方案我演示了浏览器指纹识别增强了Web身份验证，同时对用户体验的影响最小。有了这些贡献，我认为浏览器指纹识别改善了网络认证，并通过提供短期和长期的观点来改善这项工作来结束这篇手稿。简历由于Web的诞生，认证系统的安全性不再是一个重要的因素目前，这是一个重要的问题，也是一个解决方案，因为多因素认证对互联网上的使用者经验产生了影响，使互联网上的大多数使用者和使用者都能接受这些技术导航员的职业是一种无需许可的身份识别技术它收集有关设备、操作系统、导航系统和设备配置的信息Alors que cettetechnique a majoritairement été étudiée à des fins de suivi en ligne，ses propriétésen font un élément intéressant pour renforcer la sécurité sur Internet ， etnotammentDans cette thèse，je proposed 3 contributions relative à• 我在446个网站上浏览了1，485页的互联网设备，并测量了导航员在敏感页面上的收集情况，并对页面进行了• Je collecte des empreintes de navigateur dans un acquisition control ôlépourmécisément les attributes qui offrent des propriététés intéressantes en terme• 我了解并实施了一个认证方案，该方案利用航海家技术加强 Je démontre que latechnique des empreintes de navigateur améliore la sécurité tout en ayant unimpact minime sur鉴于这些贡献，我认为导航员应在法律上加强因特网上的认证。 由于Web是一个不断发展的过程，我总结出一个关于改进工作和促进航海技术发展的长期和 长 期 的 观 点 。目录图目录Xi表的列表XIII1引言11.1背景。. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11.2目标。. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21.3科学出版物列表。. . . . . . . . . . . . . . . . . . . . . . .31.4工具和原型列表。. . . . . . . . . . . . . . . . . . . . . . . .41.5概述。. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42艺术状态72.1背景。. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .72.1.1互联网的诞生. . . . . . . . . . . . . . . . . . . . . . . . . .72.1.2 Web演化。. . . . . . . . . . . . . . . . . . . . . . . . . . . .82.2 Web认证。. . . . . . . . . . . . . . . . . . . . . . . . . . . . .102.2.1概念。. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102.2.2威胁和攻击。. . . . . . . . . . . . . . . . . . . . . . . .112.2.3保护数据访问。. . . . . . . . . . . . . . . . . . . . . . .132.2.4机器人保护技术。. . . . . . . . . . . . . . . . . . . . .142.2.5改进认证。. . . . . . . . . . . . . . . . . . . . . .152.3浏览器指纹。. . . . . . . . . . . . . . . . . . . . . . . . . . .192.3.1定义。. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .192.3.2特性。. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .192.3.3属性。. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .202.4浏览器指纹识别研究。. . . . . . . . . . . . . . . . . . . . . . .322.4.1测量浏览器指纹属性。 . . . . . . . . . . .322.4.2检测和分类。. . . . . . . . . . . . . . . . . . . .362.5浏览器指纹识别对策。. . . . . . . . . . . . . . . . . .382.5.1阻止脚本。. . . . . . . . . . . . . . . . . . . . . . . . . . .392.5.2统一属性值。. . . . . . . . . . . . . . . . . . . . . .40viii目录2.5.3随时间改变属性值2.5.4信息泄露422.6浏览器指纹识别使用432.6.1用户跟踪432.6.2机器人检测442.6.3用户认证452.7结论.473FP-Redemption：为网络安全而研究浏览器指纹识别的采用513.1安全网页数据集523.1.1研究中的网站3.1.2网页采集533.1.3指纹属性533.1.4结果数据集描述543.2指纹识别3.2.1增量脚本分类573.2.2脚本分类结果593.2.3算法结果验证603.3安全网页分析613.3.1浏览器指纹属性613.3.2浏览器指纹识别的相似之处3.3.3浏览器指纹识别的起源3.3.4网页类型和网站类别国家影响653.3.5其他安全机制673.4网站抵御2种攻击模式的能力3.4.1被盗证件683.4.2Cookie劫持713.5讨论733.5.1指纹识别使用的意图3.5.2指纹几乎不用于安全743.5.3最新技术水平的缺陷753.6结论754FP-Controllink：在受控环境下研究指纹识别以链接指纹774.1A.方法784.1.1控制环境784.1.2浏览器版本794.1.3属性79目录. ix4.1.4数据收集4.2指纹多样性的原因4.2.1台式机评估824.2.2移动评估864.2.3负责属性更改的层874.3通过浏览器版本的指纹进化884.3.1版本904.3.2Nightly/beta版本934.3.3对属性进行分类944.4浏览器指纹链接算法944.4.1主要目标944.4.2设计954.4.3参数. 964.5链接算法的评估4.5.1数据集974.5.2关键业绩指标4.5.3参数值994.5.4野外结果1004.6讨论1024.6.1伦理道德1024.6.2选择参数值1024.6.3链接算法改进。.......................................................................................1034.7结论1035使用浏览器指纹识别的高级基于风险的身份验证1055.1认证方案1065.1.1设计1065.1.2挑战1075.2执行1095.2.1传统认证系统1095.2.2迎接挑战1105.2.3认证方案和CAS插件1155.3评价1165.3.1数据集构成1175.3.2关键绩效指标1175.3.3可信网络指纹和身份验证尝试1185.3.4链接算法得分1185.3.5收集和分析时间1205.4讨论1215.4.1伦理道德121x目录5.4.2安全性与用户体验1225.4.3客户端侧生成的信息1225.4.4设备管理规则1235.4.5受损器械1245.4.6向认证方案124添加特征5.5结论1256结论1276.1捐款1276.1.1FP-救赎：研究浏览器指纹采用网络安全1276.1.2FP-Controllink：在受控环境下研究指纹识别以链接指纹1286.1.3使用浏览器指纹识别的高级基于风险的身份验证。1296.2..................... 短期展望6.2.1发现新的指纹JAVA S脚本属性1296.2.2研究针对指纹认证系统的攻击项目1316.2.3调查核安全技术1326.3长期展望1336.4结论性说明. 133参考书目135图目录2.12009年至2021年Web设备市场份额的演变。.........................................................82.22009年至2021年浏览器市场份额的演变。............................................................. 92.3验证码技术的例子3.1按国家类别分列的446个被访问网站的分布情况3.2按类型分列的访问页数分布情况（总数超过1 485页，某些页面匹配几种类型）。..................................................................................563.3流程图表示我们的增量脚本分类算法。..............................................................573.4标签的迭代分布放在我们数据集的脚本上。......................................................603.5脚本使用的属性数量的CDF。............................................................................. 613.6指纹识别器中属性族的分布。..............................................................................624.1按浏览器分组的每个版本的属性值更改数在我们的实验中总共有56个属性。......................................................................924.2每个浏览器每个属性的更改数。只有在版本更新期间至少更改过一次的属性才会显示在此图表上。..........................................................................................924.3根据阈值和权重集合的浏览器实例识别持续时间994.4根据阈值为每个浏览器实例分配的ID数和配重组1014.5在攻击模式下评估我们的算法时，真阴性（TN）和假阳性（FP）比例的演变。........................................................................................................................1025.1在SSO系统上进行身份验证时的交互描述。.................................................... 1095.2描述添加动态画布检查步骤时SSO上所需的更改。........................................ 1115.3描述新的认证方案与我们的插件和新组件。....................................................1165.4根据指纹数目比例设定阈值和权重1195.5指纹采集时间分布5.6分布的连接算法分析时间和线性回归。121表的列表2.1所用技术和不同检测方法所得结果总结分类研究。..............................................................................................................393.1第一方和第三方脚本在每个网站类别中的分布情况3.2安全组织的摘要，包括访问的属性和我们数据集的网页中的存在。............... 653.3包含多因素身份验证机制或机器人检测技术的页面数量，具体取决于页面类型和页面中的浏览器指纹脚本。..................................................................................673.4关于再认证实验的参数和结果。..........................................................................703.5会话验证的每个步骤中涉及的网站数量和篮子cookie攻击，以及对经验证的子集72的攻击结果4.1关于我们运行实验的桌面设备、操作系统和浏览器的重述表814.2用于移动数据集的具有操作系统、操作系统版本和浏览器的BrowserStack设备。..........................................................................................................................814.3Ubuntu上浏览器支持的插件和独特插件的数量20点04分. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .844.4ANDROID和IOS之间不同的属性以及相应的值。上测试的所有浏览器都观察到了每个值指定的OS。............................................................................................................ 864.5影响属性值和属性类别的层894.6要评估的权重集合，以及画布属性99的对应权重第1章绪论1.1上下文网络重塑了我们的生活。从购买火车票到查看烹饪食谱，或者观看来自世界各地的现场活动，互联网对每个人的职业和个人生活都至关重要随着网络的扩展，用户和网站共享了在这种情况下，Web身份验证为用户提供了一种方法，以确保他们是唯一被允许访问私人数据的人。从历史上看，这样的系统被设计成仅具有密码验证步骤。这些系统遭受了几次攻击，如网络钓鱼或字典攻击。随着这些攻击变得越来越复杂，基于密码的系统不再足以确保Web的安全。一方面，网站和监管机构鼓励用户采用更安全的机制，如多因素身份验证（MFA）。多因素身份验证包括通过称为因素的多个通道验证用户常用的因素是电子邮件或移动设备（例如，SMS消息），用户在该消息上接收代码以确认她控制该因子。根据所使用的因素及其特性，它们要求用户执行更多的操作来进行身份验证。因此，使用多个认证因素通常意味着由于增加的复杂性而导致的用户体验的降级。用户体验至关重要，因为它会影响认证系统的接受程度，而且众所周知，用户在寻求可用性时会降低安全性。用户可能更愿意在对敏感帐户（如银行）进行身份验证尝试期间执行其他操作。更一般地说，身份验证系统必须决定他们是否更愿意在降低用户体验的同时强烈加强安全性，或者他们是否更愿意采用对用户体验影响较小但可能更容易攻击的安全机制第二章导言另一方面，浏览器指纹是一种基于属性集合的无状态、无权限的身份识别技术。浏览器指纹识别不是在客户端存储空间上设置服务器端生成的标识符（如Cookie），而是收集有关浏览器、设备和配置的客户端信息以形成标识符。在几项研究中观察到了浏览器指纹的独特性[96，117，103]，由于其数据集的组成不同，这些研究呈现了不同的独特性百分比（从30%到80-90%）。由于浏览器指纹识别收集客户端信息，因此这些信息可能会因配置更改或浏览器更新而发生变化由于这种演变，指纹随着时间的推移而改变然而，为了在识别时可靠，在不同时间从同一浏览器实例收集的指纹应该被识别为这样，即，被链接。在现有技术中已经研究了这种链接问题，以研究其用于跟踪设备的用途[150，119]。 其他研究监测了浏览器指纹识别在野外的使用情况，发现该技术主要用于跟踪[125，85，84，97]和机器人检测[151，111]。最后，其他工作讨论了使用浏览器指纹来增强Web身份验证。他们强调了这种技术引入的潜在安全改进[145，130，87]。这些研究主要是理论性的，并没有提出对这种认证系统的评价。1.2目标本论文的主要目的是建立一个了解如何浏览器指纹可以提高Web认证系统的安全性在现有技术中，测量浏览器指纹使用情况的研究使用自动化工具来抓取Web。他们经常访问公共页面，例如主页或从网站主页可访问的随机页面这样做，他们会错过需要特定交互的敏感页面，例如填写处理身份验证事件的注册第一个目标是衡量是否在敏感页面上收集了浏览器指纹，以及目的是什么为此，我将研究以下研究问题：RQ1：是否在处理需要保护的敏感数据的页面上收集浏览器指纹RQ2：如何使用浏览器指纹来保护用户帐户和网站免受凭据被盗和cookie劫持？第二个目标是在受控环境中研究指纹识别，以精确测量指纹的独特性和进化的原因，并使用1.3科学出版物3该知识用于设计用于web认证的指纹链接算法 研究以下研究问题将有助于实现这一目标：RQ3：设备中硬件或软件组件的更改如何影响其浏览器指纹？RQ4：浏览器更新对指纹的影响是什么，它可以被预测甚至预测吗？RQ5：如何设计一个结合了效率和可靠性的浏览器指纹链接算法？第三个目标是实现这样的认证系统并对其进行评估，以衡量安全收益和对用户体验的影响我将研究以下研究问题来实现这一目标：RQ6：在使用浏览器指纹识别的Web认证系统中，应该解决哪些用户体验问题RQ7：使用浏览器指纹进行身份验证是否提供了安全性改进和高可用性？在本文中，我通过研究浏览器供应商的现有文献和技术报告，通过开发工具和概念证明，以及通过对受控和野外数据集进行数据分析来1.3科学出版物本论文的部分内容改编自以下论文：[94] 安东尼·杜雷，皮埃尔·拉佩德里克斯，沃尔特·鲁达梅特金，罗曼·鲁伊。FP-救赎：为了研究浏览器指纹采用网络安全。入侵和恶意软件检测以及漏洞评估-第18届国际会议，DIMVA 2021-https://hal.inria.fr/hal-03212726/ 。[95] 安东尼·杜雷，皮埃尔·拉佩德里克斯，沃尔特·鲁达梅特金，罗曼·鲁伊。一种识别浏览器指纹脚本的交互技术。Arxiv预印本-https://arxiv.org/abs/2103.00590 。安东尼·杜雷，皮埃尔·拉佩德里克斯，沃尔特·鲁达梅特金，罗曼·鲁伊。FP-Controllink：在受控环境中研究浏览器指纹识别，以开发用于Web身份验证的链接算法。正在提交任务。第四章导言1.4工具和原型在这篇论文中，我开发了几个原型和工具来收集和分类数据。为了提高我的结果的可重复性并鼓励开放式研究，我公开分享了以下实现：• 浏览器扩展，用于监控浏览器指纹属性访问，在第3章[4]中使用。• 我们在第3[5]中使用的脚本分类技术的实现• 我们的bash脚本代码和桌面控制环境的配置文件在第4章[3]中。• 利用浏览器指纹识别的概念验证认证方案[2]。1.5纲要本文的结构安排如下。第2介绍了这项工作的背景 我解释了Web自诞生以来的演变及其对用于浏览Web的设备和浏览器的多样性的影响。我回顾了现有的针对身份验证系统和敏感信息的威胁，如网络钓鱼，数据泄露，并提出了现有的技术来加强身份验证机制，如多因素身份验证和基于风险的身份验证。 我描述了浏览器指纹，它包含什么以及它收集什么信息来识别用户。我介绍了指纹识别的不同用途，从跟踪到安全。最后，我提出了目前的限制，国家的艺术和本论文将如何探索新的方面，这一章。第3章探讨了使用浏览器指纹来增强Web身份验证。我手动浏览由各种网站类别的敏感页面组成的数据集，并检测收集用户浏览器指纹的脚本。我介绍了这些页面对浏览器指纹识别的采用，以及它对现有安全功能的补充，如多因素身份验证和机器人检测。我评估了网站对2种针对身份验证过程的攻击的抵抗力，即被盗凭据和cookie劫持。第四章利用受控环境设计了一个浏览器指纹链接算法。我从各种浏览器收集指纹，在桌面和移动设备上。我测量了浏览器指纹属性值多样性背后的来源我利用这些知识来构建一个链接算法，并根据野外数据集对其进行评估