Bezpieczeństwo w Internecie: dlaczego Twoje wewnętrzne myśli mogą stać się Twoim następnym hasłem

Twój mózg jest niewyczerpanym źródłem bezpiecznych haseł - ale nie musisz niczego pamiętać. Hasła i kody PIN z literami i cyframi są względnie łatwe do zhakowania, trudne do zapamiętania i ogólnie niebezpieczne. Biometria zaczyna zajmować ich miejsce, a odciski palców, rozpoznawanie twarzy i skanowanie siatkówki stają się powszechne nawet w rutynowych logowaniach komputerów, smartfonów i innych popularnych urządzeń.

Są bezpieczniejsze, ponieważ są trudniejsze do sfałszowania, ale biometria ma kluczową podatność: osoba ma tylko jedną twarz, dwie siatkówki i 10 odcisków palców. Reprezentują hasła, których nie można zresetować, jeśli zostaną naruszone.

Podobnie jak nazwy użytkowników i hasła, dane biometryczne są podatne na naruszenia danych. Na przykład w 2015 r. Naruszono bazę danych zawierającą odciski palców 5,6 mln amerykańskich pracowników federalnych. Ci ludzie nie powinni używać swoich odcisków palców do zabezpieczania jakichkolwiek urządzeń, zarówno do użytku osobistego, jak iw pracy. Kolejne naruszenie może ukraść zdjęcia lub dane skanowania siatkówki, czyniąc te dane biometryczne bezużytecznymi dla bezpieczeństwa.

Nasz zespół od lat współpracuje ze współpracownikami z innych instytucji i wymyślił nowy typ biometryczny, który jest unikalnie związany z pojedynczą istotą ludzką i można go w razie potrzeby zresetować.

Wewnątrz umysłu

Kiedy osoba patrzy na fotografię lub słyszy utwór muzyczny, jej mózg reaguje w sposób, który naukowcy lub lekarze mogą zmierzyć za pomocą czujników elektrycznych umieszczonych na jej głowie. Odkryliśmy, że mózg każdej osoby reaguje inaczej na bodziec zewnętrzny, więc nawet jeśli dwoje ludzi patrzy na to samo zdjęcie, odczyty ich aktywności mózgu będą inne.

Ten proces jest automatyczny i nieświadomy, więc osoba nie może kontrolować reakcji mózgu. I za każdym razem, gdy ktoś widzi zdjęcie konkretnej gwiazdy, ich mózg reaguje w ten sam sposób - choć inaczej niż wszyscy inni.

Zdaliśmy sobie sprawę, że stanowi to okazję do unikalnej kombinacji, która może służyć jako „hasło mózgowe”. Nie jest to tylko fizyczny atrybut ich ciała, taki jak odcisk palca lub wzór naczyń krwionośnych w siatkówce. Zamiast tego jest to mieszanka unikalnej biologicznej struktury mózgu danej osoby i jej mimowolnej pamięci, która decyduje o tym, jak reaguje na określony bodziec.

Tworzenie hasła do mózgu

Hasło mózgu danej osoby to cyfrowy odczyt aktywności mózgu podczas oglądania serii obrazów. Tak jak hasła są bardziej bezpieczne, jeśli zawierają różne rodzaje znaków - litery, cyfry i znaki interpunkcyjne - hasło mózgu jest bezpieczniejsze, jeśli zawiera odczyty fal mózgowych osoby oglądającej zbiór różnego rodzaju obrazów.

Aby ustawić hasło, osoba zostanie uwierzytelniona w inny sposób - na przykład przyjazd do pracy z paszportem lub inną dokumentacją identyfikującą lub sprawdzenie ich odcisków palców lub twarzy na podstawie istniejących zapisów. Następnie osoba założy miękki wygodny kapelusz lub wyściełany kask z czujnikami elektrycznymi wewnątrz. Monitor wyświetlałby na przykład zdjęcie świni, twarz Denzela Washingtona i tekst Nazywaj mnie Ismael, pierwsze zdanie klasycznego Hermana Melville'a, Moby-Dick.

Czujniki rejestrują fale mózgowe danej osoby. Podobnie jak w przypadku rejestrowania odcisku palca dla identyfikatora Touch ID iPhone'a, potrzebne byłyby liczne odczyty, aby zebrać pełny początkowy rekord. Nasze badania potwierdziły, że połączenie takich obrazów wywołałoby odczyty fal mózgowych, które są unikalne dla konkretnej osoby i są spójne od jednej próby logowania do drugiej.

Później, aby zalogować się lub uzyskać dostęp do budynku lub bezpiecznego pokoju, osoba włożyła kapelusz i obserwowała sekwencję obrazów. System komputerowy porównałby ich fale mózgowe w tym momencie z tym, co zostało początkowo zapisane - i przyznał dostęp lub odmówił, w zależności od wyników. Zajmie to około pięciu sekund, niewiele więcej niż wprowadzenie hasła lub wpisanie kodu PIN na klawiaturze numerycznej.

Po hacku

Prawdziwa zaleta haseł mózgowych wchodzi w grę po niemal nieuniknionym włamaniu do bazy danych logowania. Jeśli haker włamie się do systemu przechowującego szablony biometryczne lub użyje elektroniki do sfałszowania sygnałów mózgowych danej osoby, informacje te nie będą już przydatne dla bezpieczeństwa. Osoba nie może zmienić twarzy ani swoich odcisków palców - ale może zmienić hasło do mózgu.

Łatwo jest uwierzytelnić tożsamość innej osoby i ustawić nowe hasło, patrząc na trzy nowe zdjęcia - może tym razem ze zdjęciem psa, rysunkiem George'a Washingtona i cytatem Gandhiego. Ponieważ są to różne obrazy od początkowego hasła, wzorce fal mózgowych również byłyby inne. Nasze badania wykazały, że nowe hasło do mózgu byłoby bardzo trudne dla napastników, nawet jeśli próbowali wykorzystać stare odczyty fal mózgowych jako pomoc.

Hasła mózgu można bez końca resetować, ponieważ istnieje wiele możliwych zdjęć i szeroki wachlarz kombinacji, które można wykonać z tych obrazów. Nie ma sposobu, aby skończyć z tymi środkami bezpieczeństwa wzmocnionymi biometrycznie.

Bezpieczne - i bezpieczne

Jako naukowcy zdajemy sobie sprawę, że dla pracodawcy lub serwisu internetowego może być niepokojące lub nawet przerażające korzystanie z uwierzytelniania, które odczytuje aktywność mózgu ludzi. Część naszych badań polegała na ustaleniu, jak wykonać tylko minimalną liczbę odczytów, aby zapewnić wiarygodne wyniki - i odpowiednie bezpieczeństwo - bez potrzeby tak wielu pomiarów, które dana osoba może odczuwać jako naruszone lub zaniepokojone, że komputer próbuje odczytać ich umysł.

Początkowo próbowaliśmy użyć 32 czujników w całej głowie osoby i okazało się, że wyniki są wiarygodne. Następnie stopniowo zmniejszaliśmy liczbę czujników, aby zobaczyć, ile naprawdę jest potrzebnych - i stwierdziliśmy, że możemy uzyskać klarowne i bezpieczne wyniki za pomocą zaledwie trzech prawidłowo zlokalizowanych czujników.

Oznacza to, że nasze urządzenie czujnikowe jest tak małe, że mieści się niewidocznie w kapeluszu lub zestawie słuchawkowym z rzeczywistością wirtualną. To otwiera drzwi dla wielu potencjalnych zastosowań. Osoba nosząca na przykład eleganckie nakrycia głowy mogłaby łatwo odblokować drzwi lub komputery z hasłami mózgu. Nasza metoda może również sprawić, że samochody będą trudniejsze do kradzieży - przed uruchomieniem kierowca musiałby założyć kapelusz i spojrzeć na kilka obrazów wyświetlanych na ekranie deski rozdzielczej.

Otwierają się inne drogi w miarę pojawiania się nowych technologii. Alibaba, chiński gigant handlu elektronicznego, niedawno zaprezentował system wykorzystujący wirtualną rzeczywistość do robienia zakupów - w tym dokonywania zakupów online bezpośrednio w środowisku VR. Jeśli informacje o płatnościach są przechowywane w zestawie słuchawkowym VR, każdy, kto go użyje lub go ukradnie, będzie mógł kupić wszystko, co jest dostępne. Zestaw słuchawkowy, który odczytuje fale mózgowe użytkownika, znacznie bezpieczniej dokonałby zakupów, logowania lub fizycznego dostępu do wrażliwych obszarów.

Ten artykuł został pierwotnie opublikowany w The Conversation przez Wenyao Xu, Feng Lin i Zhanpeng Jin. Przeczytaj oryginalny artykuł tutaj.