Langsung ke konten utama

Rethinking Access Control and Authentication for the Home Internet of Things (IoT)

Komputasi sedang bertransisi dari perangkat pengguna tunggal ke Internet of Things (IoT), di mana banyak pengguna dengan hubungan sosial yang kompleks berinteraksi dengan satu perangkat. Teknik yang digunakan saat ini gagal memberikan spesifikasi kontrol akses yang dapat digunakan atau otentikasi di pengaturan seperti itu. Dalam makalah ini, kami mulai merancang ulang kontrol akses dan otentikasi untuk IoT rumahan. Kami mengusulkan bahwa kontrol akses fokus pada kemampuan IoT (yaitu, tindakan tertentu yang dapat dilakukan perangkat), bukan pada granularitas per perangkat. 

Di pengguna online 425 peserta penelitian, kami menemukan perbedaan mencolok dalam keinginan peserta kebijakan kontrol akses untuk kemampuan yang berbeda dalam perangkat tunggal, serta berdasarkan siapa yang mencoba menggunakan kemampuan itu. Dari kebijakan yang diinginkan ini, kami mengidentifikasi kemungkinan kandidat untuk kebijakan default. Kami juga menunjukkan primitif yang diperlukan untuk menentukan yang lebih kompleks, namun kebijakan kontrol akses yang diinginkan. Kisaran primitif ini dari waktu hari ke lokasi pengguna saat ini. Akhirnya, kami membahas sejauh mana metode otentikasi yang berbeda berpotensi mendukung kebijakan yang diinginkan.

Beberapa tahun terakhir telah melihat proliferasi Internet dari Perangkat Things (IoT) yang ditujukan untuk rumah konsumen, termasuk Samsung SmartThings, Amazon Echo asisten suara, Nest Thermostat, Belkin's Perangkat Wemo, dan lampu Philips Hue. Kontrol akses dan otentikasi saat ini adalah sering didasarkan pada model yang berpusat pada perangkat di mana aksesnya diberikan atau ditolak per perangkat. 

Kami pindah ke model sentris kemampuan, di mana kami mendefinisikan kemampuan sebagai tindakan tertentu (misalnya, memesan item secara online) yang dapat dilakukan pada perangkat tertentu (misalnya, asisten suara). Intuisi menunjukkan bahwa kemampuan yang berbeda memiliki kepekaan yang berbeda, yang mengarah ke pertanyaan penelitian pertama kami: 
RQ1: Apakah kebijakan kontrol akses yang diinginkan berbeda di antara kemampuan perangkat IoT rumah tunggal? 
RQ2: Untuk pasangan hubungan mana (misalnya, anak) dan kemampuan (misalnya, menyalakan lampu) yang diinginkan kebijakan kontrol akses yang konsisten di seluruh peserta? Ini bisa menjadi pengaturan default. 
RQ3: Pada faktor kontekstual apa (misalnya, lokasi) apakah kebijakan kontrol akses bergantung? 
RQ4: Jenis metode autentikasi apa yang menyeimbangkan kenyamanan dan keamanan, yang menyimpan potensi untuk berhasil menyeimbangkan konsekuensi dari kesalahan mengizinkan dan menolak akses?

 





Untuk mengidentifikasi satu set kecil hubungan untuk diselidiki dalam studi utama, kami juga menunjukkan kepada peserta tabel 24 hubungan (misalnya, anak remaja, pembantu kesehatan rumah) dan meminta mereka untuk mengelompokkan hubungan ini ke dalam lima tingkat akses yang diinginkan ke perangkat rumah pintar. Kita pilih daftar 24 hubungan ini berdasarkan pengguna yang ada dan kelompok dalam sistem kontrol akses diskresioner (DAC) dan hubungan sosial umum dalam rumah tangga.




Strong points of the paper: 
  • Hasil dijelaskan secara lengkap dengan 3 konteks berbeda yang saling terkait dan dipetakan dengan sangat baik. 
  • Visualisasi digambarkan sangat menarik dengan grafik batang. 
  • Sangat banyak perspektif yang bisa diambil sebagai acuan dalam kondisi atau konteks tertentu. Mencerminkan kompleksitas sosial yang terjadi dalam mendesain threat model. 
  • Di laman appendix dilampirkan contoh survei nya berbasis pertanyaan dan kuantisasi jawaban. 
  • Menjelaskan aspek konsekuensi dalam pengambilan suatu kebijakan. 

Weak points of the paper: 
  • Sampel diambil hanya terbatas pada AMT Pendekatan survei lebih kepada imajinasi partisipan, bukan pada kondisi realitas 
  • Banyak dari partisipan belum punya IoT sehingga tidak mengerti cara menggunakannya 
  • Terjadi bias pada partispan dengan tipe early adopter dan tech savvy, dan ini tidak dibuat terpisah


          
Tulisan ini dipublikasikan dalam rangka menyelesaikan quiz Mata Kuliah Sekuritas dan Privasi Untuk Pengguna Teknologi Informasi Prodi Cybersecurity and Forensic Telkom University dengan dosen pengampu Yudhistira Nugraha

Mahasiswa : Irwan Hariyanto, 2302210002

Komentar

Posting Komentar

Postingan populer dari blog ini

Obstacles to the Adoption of Secure Communication Tools

Abstract Komunitas keamanan komputer telah menganjurkan adopsi luas alat komunikasi yang aman untuk melawan pengawasan massal. Beberapa alat komunikasi pribadi yang populer (misalnya, WhatsApp, iMessage) telah mengadopsi enkripsi ujung ke ujung E2E, dan banyak alat baru (misalnya, Signal, Telegram) telah diluncurkan dengan keamanan sebagai nilai jual utama. Namun masih belum jelas apakah pengguna memahami perlindungan apa yang ditawarkan alat ini, dan apakah mereka menghargai perlindungan itu. Dalam studi ini, kami mewawancarai 60 peserta tentang pengalaman mereka dengan alat komunikasi yang berbeda dan persepsi mereka tentang properti keamanan alat. Kami menemukan bahwa adopsi alat komunikasi yang aman terhalang oleh basis pengguna yang terfragmentasi dan alat yang tidak kompatibel. Selain itu, sebagian besar peserta tidak memahami konsep penting enkripsi ujung ke ujung E2, sehingga membatasi motivasi mereka untuk mengadopsi alat yang aman. Kami mengidentifikasi sejumlah model mental ...
Posting Komentar
Baca selengkapnya

Mengevaluasi Persepsi Pengguna tentang Privasi Sistem: Membedakan Aspek Sosial dan Kelembagaan

Abstrak Desain  sistem  memiliki  efek  penting  pada  privasi  pengguna,  tetapi proses   privacy-by-design   dalam  organisasi  jarang  melibatkan  pengguna akhir.  Untuk  menjembatani  kesenjangan  ini,  kami  menyelidiki  bagaimana konsep  User  Centered  Design   (UCD)  dapat  digunakan  untuk  menguji bagaimana  pengguna  memandang  privasi  mereka  dalam  desain  sistem. Kami  menjelaskan  serangkaian  tiga  eksperimen  online,  dengan  1.313  peserta secara  keseluruhan,  di  mana  kami  berusaha  mengembangkan  dan memvalidasi  keandalan  skala  untuk  Users’ Perceived Systems’ Privacy (UPSP).  Kami  menemukan  bahwa  persepsi  privasi  pengguna...
Posting Komentar
Baca selengkapnya