Broken Access: On the Challenges of Screen Reader Assisted Two-Factor and Passwordless Authentication

Dit onderzoek introduceert het AWARE-evaluatiekader om de beveiligings- en toegankelijkheidsproblemen van schermlezer-ondersteunde tweestapsverificatie en wachtwoordloze authenticatie voor blinde en slechtziende gebruikers te analyseren, waarbij het aantoont dat huidige methoden kwetsbaar zijn voor diverse aanvallen door onnauwkeurige instructies.

De kern

Hier is een uitleg van het onderzoek in eenvoudig Nederlands, met behulp van een paar creatieve vergelijkingen om het begrijpelijk te maken.

De Hoofdverhaal: Een Slecht Vertaalde Gids

Stel je voor dat je een blind persoon bent die een zeer beveiligde deur moet openen. De deur heeft een digitaal slot dat een code vraagt of een knop op je telefoon moet indrukken. Normaal gesproken zou je een screenreader (een soort slimme assistent die voor je voorleest wat er op het scherm staat) gebruiken om je te helpen.

Deze studie, getiteld "Broken Access" (Gebroken Toegang), ontdekt dat deze assistent vaak verkeerde of onduidelijke instructies geeft. Het is alsof je een gids hebt die je door een donker huis leidt, maar die soms zegt: "Ga naar links" terwijl je eigenlijk naar rechts moet, of die een cijfercode voorleest als "één-duizend-drie-honderd" in plaats van "één, drie, nul".

De onderzoekers (van Texas A&M University) wilden weten: Is het veilig voor blinde mensen om hun accounts te beveiligen als ze afhankelijk zijn van deze voorleessoftware? Het antwoord is helaas: Nee, vaak niet.

---

De Drie Sleutels van het Onderzoek

De onderzoekers hebben een nieuwe manier bedacht om dit te testen, genaamd AWARE. Denk hierbij aan een "proefpersoon in een robot". In plaats van echte blinde mensen te laten proberen om in te loggen (wat duur en tijdrovend is), hebben ze de software laten "luisteren" naar wat de screenreader zegt en gekeken of dat logisch is.

Ze hebben drie situaties getest:

1. Alleen de computer: Je gebruikt een screenreader op je PC.
2. Alleen de telefoon: Je gebruikt een screenreader op je smartphone.
3. De "Twee-handen-dans": Je gebruikt een screenreader op je PC én op je telefoon tegelijkertijd (bijvoorbeeld om een code op je telefoon te horen terwijl je inlogt op je PC).

De Grote Problemen (De "Gaten" in de Beveiliging)

De studie vond drie hoofdproblemen die blinde mensen in gevaar brengen:

1. De "Verkeerde Vertaling" (Onbegrijpelijke Instructies)

Soms leest de screenreader de instructies niet goed voor.

• Vergelijking: Stel je voor dat je een recept volgt, maar de kok zegt: "Voeg een snufje zout toe" terwijl hij in werkelijkheid een hele lepel zout toevoegt. Je weet niet wat er gebeurt.
• In de praktijk: Een screenreader zegt soms niet dat er een knop is, of leest een wachtwoordcode (OTP) op een manier die niet te ontcijferen is. De onderzoekers zagen dat voor gewone tekst de screenreader ongeveer 75% van de informatie goed doorgeeft, maar voor beveiligingscodes zakt dit soms naar minder dan 20%.

2. De "Luie Wachter" (Phishing en Oplichting)

Hackers maken vaak nep-sites die eruitzien als echte banken.

• Vergelijking: Een hacker bouwt een nep-bankgebouw dat er precies uitziet als het echte gebouw. Een blinde persoon die door de gids wordt geleid, merkt het verschil niet omdat de gids alleen zegt: "Hier is de deur", zonder te zeggen: "Dit is een nep-deur".
• In de praktijk: Screenreaders kunnen vaak het verschil tussen bank.com en bank-veilig.com niet goed uitleggen. Ze lezen de URL vaak als één woord voor. Hierdoor kan een hacker een blinde persoon zomaar laten inloggen op een nep-site en hun wachtwoorden stelen.

3. De "Verwarrende Dans" (Tegelijkertijd Inloggen)

Dit is het gevaarlijkste scenario.

• Vergelijking: Stel je voor dat je een sleutel in een slot doet, maar iemand anders doet tegelijkertijd een andere sleutel in hetzelfde slot. De screenreader hoort de eerste sleutel, maar de hacker heeft de tweede sleutel al gebruikt.
• In de praktijk: Als een hacker probeert in te loggen op hetzelfde moment als het slachtoffer, kan de screenreader de melding van de hacker verwarren met die van het slachtoffer.
  • Vermoeidheid: Als een hacker 50 keer achter elkaar een melding stuurt ("Accepteren?"), wordt de blinde persoon moe en zegt per ongeluk "Ja".
  • Schouderkijken: Als iemand een code op zijn telefoon moet horen terwijl hij inlogt op zijn computer, en hij heeft geen koptelefoon op (of de telefoon is niet beveiligd), kan een omstandiger de code horen.

De "Twee-handen-dans" is het Gevaarlijkst

De studie toont aan dat het gebruik van beide apparaten tegelijk (PC + Telefoon) het meest riskant is.

• Waarom? Je kunt maar één koptelefoon dragen. Als je een code op je telefoon moet horen terwijl je op je computer inlogt, moet je de koptelefoon eraf halen of de telefoon luidop laten klinken. Hierdoor kan iedereen in de buurt de code horen. De screenreader kan dit gevaar niet voorkomen.

Wat Kunnen We Doen? (De Oplossing)

De onderzoekers geven een paar simpele adviezen aan de makers van beveiligingssystemen:

1. Maak het duidelijk: Schrijf instructies die een computer makkelijk kan voorlezen.
2. Geef tijd: Zorg dat de code niet te snel verloopt, zodat mensen die langzaam luisteren het niet missen.
3. Waarschuw: Laat de screenreader waarschuwen als er een verdachte link is of als er te veel meldingen binnenkomen.
4. Gebruik FIDO (de beste optie): De studie concludeert dat het gebruik van een fysieke beveiligingssleutel (zoals een YubiKey) in combinatie met een goede screenreader (zoals NVDA) momenteel de veiligste en meest toegankelijke optie is.

Conclusie

De boodschap is duidelijk: Beveiliging voor iedereen is nog niet helemaal veilig. De technologie die blinde mensen helpt om te surfen op het internet, maakt hen op dit moment kwetsbaarder voor hackers bij het inloggen. De onderzoekers roepen op om samen te werken (beveiligingsexperts + toegankelijkheidsexperts) om deze gaten te dichten, zodat iedereen veilig online kan zijn.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "Broken Access: On the Challenges of Screen Reader Assisted Two-Factor and Passwordless Authentication" in het Nederlands.

Probleemstelling

In de huidige technologie-gedreven wereld zijn webdiensten cruciaal voor de onafhankelijke interactie van blinde en visueel gehandicapte personen. Hoewel beveiliging essentieel is, richten de momenteel ingezette webauthenticatiemethoden zich voornamelijk op ziende gebruikers en negeren ze de specifieke behoeften van de visueel gehandicapte gemeenschap.
De kern van het probleem is dat blinde gebruikers afhankelijk zijn van screenreaders (zoals JAWS, NVDA, VoiceOver, TalkBack) om digitale diensten te benaderen. Bestaande tweestapsverificatie (2FA) en wachtwoordloze methoden (zoals Push-notificaties, FIDO/Passkeys en OTP's) zijn vaak niet ontworpen met deze assistieve technologieën in gedachten. Dit leidt tot een dubbel risico:

1. Toegankelijkheid: Gebruikers kunnen authenticatieprocedures niet voltooien omdat instructies onduidelijk of onleesbaar zijn.
2. Beveiliging: De beperkingen van screenreaders maken gebruikers kwetsbaar voor specifieke aanvallen (zoals phishing, schouderkijk, en concurrente logins) waar ziende gebruikers minder gevoelig voor zijn.

Methodologie: Het AWARE Framework

Om deze kloof te dichten, hebben de auteurs het Authentication Workflows Accessibility Review and Evaluation (AWARE) framework ontwikkeld. Dit is een semi-automatisch evaluatiekader dat dient als voorloper voor tijdrovende gebruikersstudies.

De werking van AWARE:

1. Selectie: Het framework test een breed scala aan authenticatiemethoden (OTP via SMS/bel, Push-notificaties, FIDO-MFA, Passkeys) in combinatie met populaire screenreaders (JAWS, NVDA, Dolphin, ChromeVox, VoiceOver, TalkBack).
2. Testomgevingen: Er worden drie scenario's getest:
   • Terminal (PC) met screenreader.
   • Smartphone met geïntegreerde screenreader.
   • Een combinatie van PC en smartphone (vaak gebruikt voor OTP's).
3. Analyse:
   • Communicatiekwaliteit: Het framework neemt de audio-uitvoer van de screenreader op en converteert deze naar tekst via de IBM Watson Speech-to-Text engine.
   • Vergelijking: De gegenereerde tekst wordt vergeleken met de originele tekst (gebruikmakend van cosine similarity en TF-IDF vectorisatie) om de begrijpelijkheid (comprehensibility) te meten.
   • Aanvalssimulatie: Het framework simuleert realistische aanvallen zoals phishing, concurrente logins, notificatie-uitputting (fatigue), cross-service aanvallen en schouderkijk.

Belangrijkste Bijdragen

1. Concept "Screen Reader Assisted Authentication": Het paper introduceert een nieuw model voor het analyseren van authenticatieproblemen specifiek voor blinde gebruikers, waarbij de interactie tussen screenreader en authenticatieflow centraal staat.
2. Het AWARE Framework: Een kwalitatief en kwantitatief hulpmiddel dat ontwikkelaars in staat stelt beveiligings- en toegankelijkheidsproblemen vroeg in het ontwerpproces te identificeren, zonder eerst uitgebreide gebruikersstudies met blinde proefpersonen te hoeven uitvoeren.
3. Systematische Evaluatie: Een uitgebreide analyse van 12 verschillende 2FA-methoden op 6 verschillende screenreaders, wat resulteert in een gedetailleerd overzicht van kwetsbaarheden en toegankelijkheidsbarrières.

Resultaten en Bevindingen

De studie onthulde ernstige tekortkomingen in zowel toegankelijkheid als beveiliging:

1. Toegankelijkheid en Begrijpelijkheid:

• Laag begrip: Terwijl screenreaders over het algemeen een begrijpelijkheid van >74% hebben voor algemene tekst (zoals nieuwsartikelen), daalt dit cijfer drastisch voor authenticatie-instructies. In 22 van de 33 geteste scenario's lag de begrijpelijkheid onder de 50%.
• Specifieke fouten:
  • CBI (Conflict Between Instructions): Screenreaders lezen instructies voor een stap (bijv. een OTP ontvangen) terwijl de gebruiker nog bezig is met een vorige stap, wat verwarring veroorzaakt.
  • NPO (Numeric Pronunciation of OTP): OTP's worden soms als één groot getal uitgesproken (bijv. "één duizend tweehonderd") in plaats van cijfer per cijfer, wat fouten bij het invoeren veroorzaakt.
  • UCO/UCSP: Sommige screenreaders kunnen OTP's of beveiligingsprompts (zoals Windows Security dialoogvensters) helemaal niet voorlezen.

2. Beveiligingskwetsbaarheden:

• Phishing: Screenreaders kunnen subtiele verschillen in URL's (bijv. bankofamerica vs. bankoffamerica) niet detecteren; ze spreken deze vaak identiek uit, waardoor gebruikers onbewust op nep-links klikken.
• Concurrente Logins: Bij Push-2FA (zoals Google en Duo) kan een aanvaller een notificatie sturen die de legitieme notificatie overschrijft. De screenreader leest de nieuwste (aanvaller) notificatie voor, en de gebruiker accepteert deze per ongeluk.
• Notificatie-uitputting (Fatigue): Aanvallen waarbij continu push-notificaties worden gestuurd totdat de gebruiker uit frustratie of vermoeidheid "Toestaan" kiest. Dit werkt vooral goed bij VoiceOver en TalkBack.
• Schouderkijk (Shoulder Surfing): Bij het gebruik van een PC en smartphone tegelijkertijd (bijv. inloggen op PC, OTP ontvangen op telefoon), is één van de apparaten vaak niet beschermd door koptelefoons of schermgordijnen, waardoor de OTP door een omstander gehoord kan worden.
• FIDO/Passkeys: Aanvallen zoals "Display Overlay" (valse informatie overleggen) en "Cross-Service" aanvallen zijn succesvol omdat screenreaders soms de service-naam niet correct voorlezen of overlappende vensters niet detecteren.

3. Specifieke Kwetsbaarheden per Methode:

• Push-notificaties: Kwetsbaar voor concurrente logins en fatigue.
• OTP (SMS/Bel): Kwetsbaar voor schouderkijk en NPO-problemen.
• FIDO (Titan/Yubikey): Kwetsbaar voor cross-service aanvallen en onduidelijke instructies over het plaatsen van de sleutel.

Betekenis en Aanbevelingen

De studie benadrukt dat blinde en visueel gehandicapte gebruikers in de huidige digitale infrastructuur systematisch kwetsbaarder zijn dan ziende gebruikers. De bestaande methoden slagen er niet in om een balans te vinden tussen beveiliging en toegankelijkheid.

Aanbevelingen voor ontwikkelaars:

• Duidelijke instructies: Zorg voor beknopte, screenreader-vriendelijke instructies op elke stap.
• Conflictbeheer: Voorkom dat telefoonoproepen (voor OTP) overlappen met screenreader-instructies.
• Beveiligingsintegratie: Screenreaders moeten functies krijgen om phishing-URL's te detecteren, meerdere notificaties te waarschuwen en cross-service aanvallen te blokkeren.
• Aanbevolen combinatie: Op basis van de resultaten wordt FIDO met NVDA (op PC) aanbevolen als de meest veilige en toegankelijke combinatie, hoewel er nog ruimte is voor verbetering.

Het paper pleit voor cross-disciplinaire samenwerking tussen beveiligingsexperts, HCI-onderzoekers en toegankelijkheidsspecialisten om authenticatiesystemen te ontwikkelen die zowel veilig als inclusief zijn.