Internet Security: Proč se vaše interní myšlenky mohou stát vaším dalším heslem

Váš mozek je nevyčerpatelným zdrojem bezpečných hesel - ale nemusíte si nic pamatovat. Hesla a PINy s písmeny a čísly jsou relativně, snadno napadnutelné, těžko zapamatovatelné a obecně nejisté. Biometrie začínají zaujmout své místo, přičemž otisky prstů, rozpoznávání obličeje a skenování sítnice se stávají běžnými i v rutinních přihlášeních pro počítače, smartphony a další běžná zařízení.

Jsou bezpečnější, protože jsou těžší padělat, ale biometrie mají zásadní zranitelnost: Osoba má pouze jednu tvář, dvě sítnice a 10 otisků prstů. Představují hesla, která nelze obnovit, pokud jsou ohrožena.

Podobně jako uživatelská jména a hesla jsou biometrická pověření náchylná k narušení dat. V roce 2015 byla například porušena databáze obsahující otisky prstů 5,6 milionu amerických federálních zaměstnanců. Ti lidé by neměli používat otisky prstů, aby zajistili zařízení, ať už pro osobní použití nebo v práci. Další narušení by mohlo ukrást fotografie nebo data ze skenování sítnice, což by tyto biometrické údaje zneužilo pro bezpečnost.

Náš tým již roky spolupracuje s spolupracovníky v jiných institucích a vynalezl nový typ biometrie, který je jednoznačně vázán na jedinou lidskou bytost a může být v případě potřeby resetován.

Uvnitř mysli

Když se člověk dívá na fotografii nebo slyší kus hudby, její mozek reaguje způsobem, který výzkumníci nebo zdravotníci mohou měřit pomocí elektrických senzorů umístěných na její pokožce hlavy. Zjistili jsme, že mozek každého člověka reaguje odlišně na vnější podnět, takže i když se dva lidé dívají na stejnou fotografii, bude jejich mozková aktivita odlišná.

Tento proces je automatický a v bezvědomí, takže člověk nemůže kontrolovat, co se stane s mozkovou reakcí. A pokaždé, když člověk uvidí fotku určité celebrity, jejich mozek reaguje stejně - i když jinak než všichni ostatní.

Uvědomili jsme si, že to představuje příležitost pro jedinečnou kombinaci, která může sloužit jako to, co nazýváme „mozkové heslo“. Není to jen fyzický atribut jejich těla, jako otisk prstu nebo vzor cév v sítnici. Namísto toho je to směs jedinečné biologické struktury člověka a jejich nedobrovolné paměti, která určuje, jak reaguje na konkrétní podnět.

Vytvoření hesla

Heslo lidského mozku je digitální čtení jejich mozkové činnosti při pohledu na sérii snímků. Stejně jako hesla jsou bezpečnější, pokud obsahují různé druhy znaků - písmena, čísla a interpunkční znaménka - heslo pro mozek je bezpečnější, pokud zahrnuje čtení mozkových vln osoby, která se dívá na sbírku různých druhů obrázků.

Pro nastavení hesla by byla osoba ověřena jiným způsobem - např. Při práci s cestovním pasem nebo jiným identifikačním papírováním, nebo s otiskem prstu nebo s kontrolou obličeje proti existujícím záznamům. Pak si člověk nasadil měkký pohodlný klobouk nebo polstrovanou helmu s elektrickými senzory uvnitř. Monitor by zobrazoval například obrázek prase, obličej Denzela Washingtona a text Říkejte mi Ismaeli, úvodní větu klasiky Herman Melville, Moby-Dick.

Senzory zaznamenaly mozkové vlny člověka. Stejně jako při registraci otisku prstu pro zařízení Touch ID pro zařízení iPhone bude pro sběr úplného počátečního záznamu zapotřebí více čtení. Náš výzkum potvrdil, že kombinace obrázků, jako je tato, by vyvolala odečty mozkových vln, které jsou pro konkrétní osobu jedinečné a konzistentní z jednoho pokusu o přihlášení do druhého.

Později, aby se přihlásil nebo získal přístup k budově nebo zabezpečené místnosti, osoba by si nasadila klobouk a sledovala sled obrázků. Počítačový systém by v tom okamžiku porovnával jejich mozkové vlny s tím, co bylo původně uloženo - a buď v závislosti na výsledcích udělí přístup nebo jej popře. Trvalo by to asi pět vteřin, ne mnohem déle než zadávání hesla nebo zadávání kódu PIN do numerické klávesnice.

Po hacku

Skutečná výhoda hesel mozku přichází do hry po téměř nevyhnutelném zaseknutí přihlašovací databáze. Pokud se hacker vloupá do systému, který ukládá biometrické šablony nebo používá elektroniku k padělání mozkových signálů, tyto informace již nejsou pro bezpečnost užitečné. Člověk nemůže změnit svou tvář ani otisky prstů - ale může změnit heslo svého mozku.

Je snadné ověřit totožnost osoby jiným způsobem a nechat si nastavit nové heslo při pohledu na tři nové obrázky - možná tentokrát s fotkou psa, kresbou George Washingtona a citací Gandhi. Vzhledem k tomu, že se liší od počátečního hesla, vzory mozkových vln by byly jiné. Náš výzkum zjistil, že nové heslo pro mozek by bylo pro útočníky velmi těžké zjistit, i kdyby se pokoušely použít staré čtení naměřených hodnot jako pomoc.

Hesla mozku jsou nekonečně resetovatelná, protože existuje tolik možných fotografií a obrovské množství kombinací, které lze z těchto snímků vytvořit. Těmto bezpečnostním opatřením s vyšší biometrickou účinností není možné vyhnout.

Bezpečné - a bezpečné

Jako výzkumní pracovníci si uvědomujeme, že by to mohlo být pro zaměstnavatele nebo internetovou službu znepokojující nebo dokonce strašidelné používat autentizaci, která čte mozkovou aktivitu lidí. Součástí našeho výzkumu bylo zjistit, jak vzít jen minimální množství čtení, aby se zajistily spolehlivé výsledky - a správné zabezpečení - aniž by bylo třeba tolik měření, které by člověk mohl cítit porušen nebo se obávat, že se počítač snaží číst svou mysl.

Zpočátku jsme se snažili použít 32 senzorů po celé osobě a zjistili, že výsledky jsou spolehlivé. Pak postupně snižujeme počet senzorů, abychom zjistili, kolik jich bylo opravdu potřeba - a zjistili jsme, že bychom mohli získat jasné a bezpečné výsledky pouze se třemi správně umístěnými senzory.

To znamená, že naše senzorové zařízení je tak malé, že se vejde neviditelně do klobouku nebo soupravy virtuální reality. To otevírá dveře pro mnoho potenciálních využití. Například osoba, která nosí elegantní pokrývky hlavy, by mohla snadno odemknout dveře nebo počítače s hesly. Naše metoda by mohla také znesnadnit krádež automobilů - před spuštěním by řidič musel nasadit klobouk a podívat se na několik obrázků zobrazených na obrazovce řídicího panelu.

Dalšími způsoby se otevírají nové technologie. Čínský e-commerce gigant Alibaba nedávno představil systém pro využití virtuální reality při nakupování zboží - včetně nákupu online přímo v prostředí VR. Pokud jsou informace o platbě uloženy v náhlavní soupravě VR, každý, kdo je používá, nebo jej ukradne, si bude moci koupit cokoli, co je k dispozici. Náhlavní souprava, která čte své uživatelské mozkové vlny, by učinila nákupy, přihlášení nebo fyzický přístup k citlivým oblastem mnohem bezpečnějším.

Tento článek byl původně publikován na Konverzaci Wenyao Xu, Feng Lin a Zhanpeng Jin. Přečtěte si originální článek zde.