Dokunma dinamiği ile mobil kullanıcılar için kimlik doğrulama

Abstract

Hızla gelişen teknoloji ile birlikte bilgisayarlar insan hayatının çok önemli birer parçası haline gelmiştir. Daha ergonomik, taşınabilir bilgisayarların, yüksek işlem gücüne sahip donanım ve yazılımların geliştirilmesi, internete daha hızlı ve kolay erişim yardımıyla çevrimiçi ortamlar insanların günlük eylemlerinin sanal ortamlara taşınmasını sağlamıştır. Günümüzde bankacılıktan alışverişe, resmi kurumlardaki işlemlerden ticarete kadar birçok eylem, geliştirilen uygulamalar aracılığıyla mobil cihazlardan kolaylıkla gerçekleştirilebilmektedir. İnsan hayatını oldukça kolaylaştıran bu gelişmeler beraberinde birtakım güvenlik problemlerini de getirmektedir. Bu noktada, kullanıcı tanımlama ve kimlik doğrulama, bilgi güvenliği ve gizlilik kavramları hem bireyler hem de kurumlar için önemli hale gelmektedir. Buna karşılık, bilgi güvenliği ve bilinci konusu hızla gelişen bu yeniliklerin hızını yakalayamamıştır. İnsanlar bahsedilen tüm bu hizmetlerden yararlanabilmek için hassas kişisel verilerini çevrimiçi dünya ile paylaşmaktadır. Bu bilgilerin güvenliği için, kullandığımız bu cihazlarda kullanıcı bilgilerinin güvenliğini sağlayan şifrelemeden parmak izi tanımaya kadar geleneksel ve modern birçok kimlik doğrulama yöntemi kullanılmaktadır. Bugün en çok kullanılan kimlik doğrulama yöntemi olan şifrelemenin, saldırganlar tarafından kolayca kırılabilen ve tek başına bilgi güvenliğini sağlayamayan bir yöntem haline gelmesi, artık daha güvenilir yöntemlere ihtiyaç olduğunu ortaya çıkarmıştır. Ayrıca, insanların da bilgi güvenliği konusundaki bilinci bu gelişmelerdeki hıza paralel hızla gelişmemiştir. Günümüzde insanlar farklı sayıda çevrimiçi ortamda aktif olduğu için bu sistemlerde kullandıkları şifreleri daha kolay hatırlayabilmek adına birbirine çok benzeyen hatta aynı şifreleri hem bankacılık gibi yüksek güvenlik gerektiren sistemlere hem de güvensiz bir sosyal medya platformuna verebilmektedirler.Teknolojideki gelişmeler yetersiz kalan kimlik doğrulama yöntemlerini güçlendirecek, gelişmiş güvenlik ve kimlik doğrulama sistemlerinin ortaya çıkmasını sağlamıştır. Bu yöntemlerden birisi olan biyometrik kimlik doğrulama yöntemi, insanların fiziksel ve davranışsal ayırt edici özelliklerini kullanarak onları tanıma ve doğrulama yapmayı amaçlamaktadır. Bugün dokunmatik ekranlı mobil cihazların giderek yaygınlaşmasıyla ile insan bilgisayar etkileşimi farklı bir boyuta taşınmış ve bu etkileşim ortaya oldukça değerli ve hassas olan dokunma verilerini çıkarmıştır. İnsanların dokunmatik cihazlarla girdiği etkileşim sırasındaki dokunma davranışları, bireylerin ayırt edici birer özelliği olarak kabul edilmiş ve kimlik doğrulama yöntemi olarak kullanılmaya başlanmıştır. Bu çalışmada da, dokunma dinamiği ile davranışsal biyometrik kimlik doğrulama yöntemini ele alan bir model tasarlanmış ve bu modelle bir mobil uygulama geliştirilerek dokunma dinamiklerinden kullanıcı doğrulama ve anomali tespiti yapılabileceği ortaya konmaya çalışılmıştır. Çalışmanın ilk bölümünde gelişen insan bilgisayar etkileşimi ve mobil cihazların insan hayatındaki giderek artan yeri ele alınmış, sonrasında çalışma kapsamında geliştirilen kişiye özel klavyelerin test edildiği uygulamanın temelinde yer alan kullanıcı öğrenme davranışını etkileyen öğrenme yöntemleri açıklanmıştır. Üçüncü bölümde, gelişen dijital dünyada bilgi güvenliğinin önemi ve farklı teknikler kullanılarak yapılan saldırılar sonucu oluşan güvenlik açıkları incelenmiştir, bu güvenlik açıklarına karşı kullanılan ve en yaygın güvenlik önlemi olan kullanıcı kimlik doğrulama ayrı bir başlıkta incelenerek, biyometrik kimlik doğrulama yöntemleri tek tek incelenmiştir. Beşinci bölümde ise literatürdeki benzer çalışmalara yer verilmiştir.Tez çalışması kapsamında, kullanıcıların dokunma dinamiğini esas alan bir biyometrik kimlik doğrulama uygulaması geliştirilmiştir. Geliştirilen mobil uygulama ile çalışma için kullanıcılardan dokunma dinamiği verilerinin toplanabileceği bir ara yüz sağlanmıştır. Dokunma süreleri, dokunma alanı, dokunma basıncı ve cihaz tutuş pozisyonunun öznitelik olarak değerlendirildiği uygulama ile hem dokunma dinamiği verileri hem de kullanıcılara özel üretilen ve onlara farkında olmadan pasif bir şekilde öğrenme yöntemi olan örtük öğrenme ile öğretilen numerik klavyeler kullanılarak kimlik doğrulama yapılmaya çalışılmıştır. Geliştirilen uygulama toplam 30 denek katılımıyla test edilmiş, ardından tanımlanan kullanıcılardan ayrı ayrı doğrulama denemeleri yapılması istenmiştir. Katılımcılardan, kendilerine özel 0'dan 9'a rakamların yerleri rastgele dağıtılarak oluşturulan numerik klavyeden belirlenen 6 karakterli rakam dizilerini başarı bir şekilde girmeleri istenmiştir. Ayrıca, yanlış kabul oranının ölçülebilmesi için sistemde tanımlı olmayan 5 kullanıcıdan, daha önceden tanımlanmış kullanıcılar yerine giriş yapmaları istenmiştir. Yapılan deneylere katılan kullanıcılara, deney sonrası birer anket yapılmış ve genel kullanıcı davranışı analiz edilerek tez çalışması kapsamında geliştirilen model ile ilgili çıkarımlar yapılmıştır. Bu deneyler sonucunda, yanlış red oranı (FRR) 0.16, yanlış kabul oranı (FAR) 0.28, eş hata oranı (EER) 0.22 elde edilmiştir.

With the rapidly growing technology, computers have become an indispensable part of the human life in today's world where open access is provided to almost every point of the world via internet. Development of portable and more ergonomic PC's, hardware and software which have more powerful processors, faster and easier access to the internet enabled individuals to perform many daily activities in online platforms. For instance, today many transactions from banking to shopping can be carried easily out through applications in mobile devices. In order to perform such activities, systems require some sensitive information, such as bank account information, citizenship number to be shared. Although these activities which are carried by users in online platform make human life easier, they have raised the concerns of information security as sensitive information is required. Thus, the protection and safe storage of information became an essential problem. In this context, privacy, user identification and authentication have become an important concept both for individuals and organizations as sensitive information is required in order to benefit from all these internet facilities. There are various different traditional and modern authentication methods to secure users' sensitive information and to detect the abnormal cases in information system: encryption, finger print recognition etc. Today, encryption is the most widely used authentication method, but due to the fact that information security attacks are becoming prevalent, this method can easily be cracked by attackers and cannot provide the security by itself. This situation revealed the necessity for more reliable and secure methods. Furthermore, awareness of people about information security has not grown as rapidly as up technology. For example, users can set similar or the same passwords to remember easily for both a banking application which includes their very sensitive data and a social media application that has less secure level.With the improvements in the technology, new authentication methods have emerged that will strengthen the inadequate and less secure authentication methods. Biometric authentication method is one of these methods which identifies the individuality of the person in a distinctive way and carries them physically or behaviorally, are highly resistant to the possible attacks compared to encryption. Today, with the increasing widespread use of touch screen mobile devices, human computer interaction has become more significant, and this interaction enabled to collect a very valuable data of users such as touch dynamics. The touch behavior during the interaction of people with touch devices has been accepted as a distinctive feature within the context of behavioral biometric authentication method. Behavioral biometry which is also considered as an effective and cheap authentication method can be used without requiring any additional hardware. The purpose of this thesis is to demonstrate the possible use of behavioral biometric authentication as a safe and effective method of user authentication to identify possible anomalous behavior or unauthorized access in a system or as a second factor authentication to distinguish the behavior of a legitimate user from the behavior of fraudulent user. Today, many users prefer traditional security methods to log any system in, they prefer using the same or similar password when they log on. This situation brings many security vulnerabilities. In the context of the thesis, it is tried to demonstrate behavioral biometric data as an efficient, alternative and cost-effective solution using the implicit learning method of an adaptive numerical keyboard which is specially created by using touch dynamics values in mobile devices. In the first part of the thesis, human computer interaction is presented. Human's active interaction with the computers has also contributed to the emergence of new areas of research. In terms of user identification and verification, characteristics of the interaction with computers are considered as distinctive features. The devices which are developed in accordance with the demands of people can be used as an authentication method by analyzing the collected data through monitoring how people use these devices. In the following section, psychology of learning is presented. Two types of learning methods are examined and compared: Explicit learning and implicit learning. Explicit learning can briefly be defined as intentionally learning, this process is realized as a result of an intent. Implicit learning is defined as learning of the fact without being aware of what they learned. It differs from explicit learning in terms of awareness. Implicit learning method in which the individuals learned an adaptive personalized keyboard via Touch Dynamics application developed within the context of the thesis is discussed with examples from daily life. In the third section, concept of the information security and vulnerabilities are examined. Information security is considered as protection and safe storage of sensitive information. Even though there has been various improvements in the field of information security, users are still suffering from security attacks because of security vulnerabilities. Speed of development in information security solutions is not equal with improvements of technology. This difference between information security solutions and technology leads to many security vulnerabilities. In this thesis, firstly information security issue, which is gaining more and more importance with developing technology, has been analyzed together with security vulnerabilities and possible security attack techniques. Then, information security attacks such as social engineering, spyware, brute force are presented with examples. In the fourth section, user authentication is discussed in detail. User authentication is a process which is based on verifying a user while accessing a system using their information. User authentication methods are divided into three: Knowledge based, object-based and biometric based authentication. The biometric methods include physical and behavioral authentications. Physical authentication method covers using individual's unique physical features, such as retina, to distinguish from others with the help of technological devices. On the other hand, behavioral biometrics utilizes unique behavioral features of users such as touch dynamics. In comparison with physical methods, behavioral ones are cost efficient and can easily be collected. Touch dynamics can be defined as users' unique touch behaviors while using touch screen devices. The application which is developed in the thesis focused on touch dynamics which is a one of behavioral biometric based authentications. First, the authentication methods are examined. All these methods are covered, in particular the touch dynamics which is also used for the application developed in the context of the thesis, as a behavioral authentication method is analyzed with details. In the fifth part, similar researched on keystroke dynamics and touch dynamics are examined. In the last section of the thesis, a biometric authentication application which is named as `Touch Dynamics` is based on the users' touch dynamics has been developed. This developed mobile application provides an interface which enables to collect touch dynamics data from users. In this application, touch areas, touch durations that differences between touch and release times, touch pressure and device hold positions are considered as features; it has been tried to authenticate the users with numerical keyboards, which are specially generated for the users and taught by implicit learning. This mentioned keyboards are randomly created with the help of shuffling positions of the numbers on the keyboard from 0 to 9 for each different users. Participants are asked to correctly typed 6-digit numbers using these specialized numeric keyboards. In training stage, each user had completed 30 trials to collect touch dynamics data for identification. These collected data are utilized to perform user's score through statistical methods at the decision making step. In verification stage, the developed application was tested with the participation of the total 30 users and then it was requested to perform separate verification experiments from the identified users. In addition, 5 users who are not defined in the system are requested to log in instead of previously defined users in order to measure the false acceptance rate. At the end of the experiment, a survey was conducted and user behavior was generally analyzed within the scope of developed model in order to deduce. As a result of experiments, False Reject Rate (FRR) was obtained as 0.16, False Acceptance Rate (FAR) as 0.28 and Equal Error Rate (EER) as 0.22.