Enhanced Multi-Factor Authentication for Mobile Applications

Abstract

Problemas relacionados com a autenticação tornaram-se importantes tanto para empresas quanto para indivíduos na era digital atual. Técnicas de autenticação tradicionais, como o uso de um único username e password, já não são suficientes para garantir segurança eficaz devido à proliferação de ameaças cibernéticas sofisticadas.Para resolver este problema, a autenticação multifator (MFA) e a autenticação baseada em risco (RBA) surgiram como soluções eficazes. A MFA exige o uso de vários métodos para verificar a identidade de um utilizador, tais como algo que o utilizador sabe, algo que o utilizador tem ou algo que o utilizador é. Complementarmente, a RBA ajusta dinamicamente os métodos de autenticação exigidos com base no nível de risco associado a uma determinada tentativa de login.Esta dissertação tem como objetivo explorar em detalhe problemas relacionados com a autenticação, de modo a implementar uma solução robusta para resolver e melhorar o problema da segurança na autenticação. Para isso, este relatório aborda tópicos cruciais, examina os fatores existentes, os riscos associados e a forma como a MFA e a RBA podem ajudar a mitigá-los.Nós propomos facilitar a implementação de mecanismos de autenticação seguros e de fácil uso em aplicações móveis recorrendo a Autenticação Multi Factor e Autenticação baseada no Risco. A nossa solução envolve o desenvolvimento de duas bibliotecas diferentes para apoiar o desenvolvimento de aplicações. A primeira é uma biblioteca que pode ser integrada em qualquer aplicação móvel. A segunda é projetada para integrar um servidor de backend. A biblioteca hospedada no lado do servidor tem um motor de risco baseado em machine learning que calcula um nível de risco com base nas informações pessoais do utilizador, tais como o endereço IP, o tipo de dispositivo ou a hora de acesso. O risco irá informar a decisão do fator a apresentar ao utilizador. Para isso, explorarámos um dataset de tentativas de login com cerca de 33 milhões de entradas.

Authentication-related issues have grown in importance for both companies and individuals in the current digital era. Traditional authentication techniques, including employing a single username and password, are no longer sufficient to ensure effective security due to the proliferation of sophisticated cyber threats.To address this problem, Multi Factor Authentication (MFA) and Risk-Based Authentication (RBA) have emerged as effective solutions. MFA requires using multiple methods to verify a user's identity, such as something the user knows, something the user has, or something the user is. Complementarily, RBA dynamically adjusts the required authentication methods based on the risk level associated with a particular login attempt.This dissertation aims to explore the authentication-related problems in detail to implement a robust solution to address and improve the authentication security problem. For that, this report addresses crucial topics, such as examining the existing factors and their associated risks and how MFA and Risk-Based Authentication can help mitigate them. We propose to enable mobile application developers to implement secure and user-friendly authentication mechanisms by relying on Multi Factor Authentication and Risk-Based Authentication. Our solution involves developing two different libraries to support application development. The first one is a library that can be integrated into any Android application. The second one is meant to integrate into a backend server. The server-side library has a Machine Learning (ML) risk engine which calculates a risk level for each login attempt based on the user's personal information, such as their IP address, device type or login access time. This risk will inform the decision of which factor(s) to present to the user. To do this we explored a login attempts dataset with over 33 million records.