Todentamisen ohittaminen : tutkimuksen nykytilanne

Abstract

Tässä tutkimuksessa tehtiin systemaattinen kirjallisuuskartoitus selvittämään todentamisen ohittamiseen liittyvän tutkimuksen nykytilannetta, vertaillen julkaisuja ja samalla aikavälillä havaittuja haavoittuvuuksia. Tutkitut julkaisut kuvasivat pääasiassa ratkaisuja todentamisen ohittamisen estämiseksi, mutta myös hyökkäyksiä läpikäyviä julkaisuja oli paljon. Tutkimuksessa yleisimpiä käsiteltyjä aihealueita olivat laitteisiin ja yhteyksiin liittyvä todentamisen ohittaminen sekä biometrisen todentamisen haavoittuvuudet. Aiheeseen liittyvissä väärän todennuksen (CWE-287) alakategorioissa julkaisuista ja haavoittuvuuksista yleisin oli todentamisen ohittaminen huijaamisen kautta. Toisena julkaisuista oli toiston kautta todentamisen ohittaminen. Haavoittuvuuksissa toisiksi yleisimpänä oleva vaihtoehtoisen reitin tai kanavan käyttäminen sen sijaan esiintyi vähemmän julkaisuissa, mahdollisesti kaivaten lisätutkimusta.

A systematic mapping study was conducted to assess the current status of research on authentication bypass, comparing studies and vulnerabilities occurring around the same time. Found studies mostly described solutions to prevent authentication bypass, but many also described attacks. In the research, the most common topics were authentication bypass in devices and connections, and vulnerabilities of biometric authentication. In the subcategories of improper authentication (CWE-287) relating to authentication bypass, the most common one in studies and vulnerabilities was authentication bypass by spoofing. The second in studies was bypass by capture-replay. In vulnerabilities, the second most common was bypass by alternate path or channel, which appeared less in studies, possibly needing further research.