Почему мы не должны знать наши собственные пароли

Почему мы не должны знать наши собственные пароли

Поскольку 2009, агенты таможенной службы и пограничной службы США разрешено искать электронные устройства проводятся гражданами или неграждане, когда они пересекают границу с Соединенными Штатами из других стран. Совсем недавно министр национальной безопасности Джон Келли предложил, чтобы этот цифровой опрос также включал сбор папок в социальных сетях, Предложение Келли побудило юридических и технических экспертов ответить Открой письмо выражая глубокую озабоченность по поводу любой политики, которая требует, чтобы люди нарушали «первое правило безопасности в Интернете»: не сообщайте свои пароли. Беседа

Сами туристы тоже ответили, поиск способов избежать сдачи паролей своих устройств федеральным агентам. Один из подходов - то, что мы могли бы назвать методом «Nothing To See Here» - пытается сделать устройство непознаваемым стирание жесткого диска перед поездкой, удаление приложений в социальных сетях, позволяющих заряжать батарею устройства или даже вытирать устройство, если аварийный или «принудительный» пароль был введен.

Подход «Я бы с удовольствием, но я не могу» включает в себя экзотические решения, такие как установка двухфакторной аутентификации на устройстве или учетной записи в социальных сетях, а затем создание второго фактора (например, кода доступа или цифрового ключа) доступно только в удаленном месте, Для получения второго фактора потребуется ордер и выезд за границу.

Эти методы опасны, потому что они поставили уже подчеркнутого путешественника в положение, нарушающее правоприменение на границе, правовая среда, предназначенная для поддержки правительства а не путешественником. В соответствии с этим советом должным образом также требуется тщательное выполнение технических навыков, которых у большинства путешественников нет. И степень предварительного планирования и подготовки требуется сама по себе может считаться признаком подозрительной деятельности, требующей более пристального изучения пограничными чиновниками.

Но заманчиво удивляться: могли ли компьютерные ученые и разработчики программного обеспечения, как я, создать лучшую систему паролей? Можем ли мы сделать так: «Я бы хотел исполнить, но не могу» единственный возможный ответ для каждого путешественника? Короче говоря, можем ли мы создавать пароли, даже их владельцы не знают?

Поиск непознаваемого пароля

Разработка непознаваемых паролей - это активная область исследований безопасности. В 2012 команда из Стэнфордского университета, Северо-западного университета и исследовательского центра SRI разработала схему использования компьютерной игры, подобной «Guitar Hero», чтобы тренировать подсознательный мозг, чтобы узнать серию нажатий клавиш, Когда музыкант запоминает, как играть музыку, ей не нужно думать о каждой ноте или последовательности. Он становится укоренившейся, обученной реакцией, используемой в качестве пароля, но почти невозможной даже для музыканта, чтобы описать записку запиской или для того, чтобы пользователь раскрывал письмо в письме.

Кроме того, система разработана так, что даже если пароль обнаружен, злоумышленник не может вводить нажатия клавиш с той же скоростью, что и обученный пользователь. Комбинация нажатий клавиш и простота производительности однозначно связывают пароль с пользователем, освобождая пользователя от необходимости запоминать что-либо сознательно.


Получите последние новости от InnerSelf


К сожалению, в нашем сценарии пограничных поездок агент может потребовать, чтобы путешественник разблокировал устройство или приложение, используя подсознательный пароль.

Команда из Калифорнийского политехнического университета, Помона, предложила другое решение в 2016. Их решение, называемое Chill-Pass, измеряет уникальную реакцию человека на химию мозга, слушая ее выбор расслабляющей музыки. Эта биометрическая реакция становится частью процесса входа пользователя в систему. Если пользователь находится под принуждением, она не сможет достаточно расслабиться, чтобы соответствовать ранее измеренному состоянию «холода», и вход в систему завершится неудачей.

Неясно, смогут ли агенты CBP победить такую ​​систему, как Chill-Pass, предоставляя путешественникам, скажем, массажные кресла и спа-процедуры. Тем не менее, стрессы повседневной жизни не позволяли бы регулярно использовать такой пароль. Система, основанная на релаксации, была бы наиболее полезна для людей, выполняющих миссии с высокими ставками, где они боятся принуждения.

И точно так же, как и с другими планами, чтобы сделать контроль CBP невозможным, это может в конечном итоге привлечь больше внимания к путешественнику, а не поощрять офицеров отказаться и перейти к следующему человеку.

Можете ли вы забить безопасность?

В 2015 объявлен Google Проект Abacus, другое решение проблемы «Я бы с удовольствием справляюсь, но не могу». Он заменяет традиционный пароль «Trust Score», фирменный коктейль характеристик, который Google определил, может идентифицировать вас. Оценка включает в себя биометрические факторы, такие как шаблоны ввода, скорость ходьбы, голосовые шаблоны и выражения лица. И это может включать ваше местоположение и другие неуказанные элементы.

Калькулятор Trust Score постоянно работает на фоне смартфона или другого устройства, обновляя себя новой информацией и пересчитывая счет в течение дня. Если показатель доверия падает ниже определенного порога, скажем, наблюдая за странным шаблоном ввода или незнакомым местоположением, система потребует от пользователя ввода дополнительных учетных данных.

Непонятно, как аутентификация доверия может повлиять на пограничный поиск. Агент CBP все еще может потребовать, чтобы путешественник разблокировал устройство и его приложения. Но если агент не может отключить систему Trust Score, владельцу телефона должно быть разрешено удерживать устройство и использовать его во время проверки агента. Если кто-то другой попытался использовать его, то постоянно пересчитанный показатель доверия мог бы упасть, блокируя следователя.

Этот процесс, по крайней мере, обеспечит, чтобы владелец телефона знал, какую информацию собирают федеральные агенты с телефона. Это было невозможно для некоторых прибывающих путешественников, в том числе Граждане США и даже государственные служащие.

Но система Trust Score дает большой контроль в руках Google, коммерческой корпорации, которая может принять решение - или может быть принудительно - обеспечить правительству путь вокруг него.

Так что теперь?

Ни одно из этих технологических решений проблемы с паролем не является совершенным, и ни один из них сегодня не доступен на рынке. До тех пор, пока исследования, индустрия и инновации не придумают лучших, что делать цифровому путешественнику эпохи?

Во-первых, не лгите федеральному агенту. Это фелония и, безусловно, привлечет больше внимания со стороны исследователей.

Затем определите, сколько неудобств вы готовы терпеть, чтобы оставаться молчаливыми или отказываться от соблюдения. Несоответствие будет стоить: ваши устройства могут быть захвачены, и ваше путешествие может быть серьезно нарушено.

В любом случае, если и когда вас попросят обращаться с вашими социальными медиа-ручками или паролями или разблокировать ваши устройства, обратите внимание и запомните как можно больше деталей. Затем, если хотите, сообщите группе цифровых гражданских свобод, что это произошло. У Electronic Frontier Foundation есть веб-страница с инструкциями для как сообщить об обнаружении устройства на границе.

Если вы считаете, что чувствительные материалы могут быть скомпрометированы при поиске, сообщите семье, друзьям и коллегам, которые могут быть затронуты. И - пока мы не выясним лучший способ - измените свои пароли.

Об авторе

Меган Сквайр, профессор вычислительных наук, Университет Элон

Эта статья изначально была опубликована в Беседа, Прочтите оригинал статьи.

Книги по этой теме

{amazonWS: searchindex = Книги; ключевые слова = конфиденциальность компьютера; maxresults = 3}

enafarZH-CNzh-TWnltlfifrdehiiditjakomsnofaptruessvtrvi

Следуйте за InnerSelf

facebook-значокTwitter-значокНовости-значок

Получить последнее по электронной почте

{Emailcloak = выкл}

ВНУТРЕННИЕ ГОЛОСЫ

САМОЕ ЧИТАЕМОЕ