Interneto saugumas: kodėl jūsų vidinės mintys gali tapti jūsų būsimuoju slaptažodžiu

Jūsų smegenys yra neišsenkantis saugių slaptažodžių šaltinis - bet jūs neturite nieko prisiminti. Slaptažodžiai ir PIN kodai su raidėmis ir skaičiais yra santykinai, lengvai įsilaužti, sunkiai įsimenami ir paprastai nesaugūs. Biometriniai duomenys pradeda vartoti, pirštų atspaudai, veido atpažinimas ir tinklainės nuskaitymas tampa įprasti net ir įprastuose kompiuterių, išmaniųjų telefonų ir kitų bendrų prietaisų prisijungimuose.

Jie yra saugesni, nes jie sunkiau suklastoti, tačiau biometriniai duomenys yra itin pažeidžiami: žmogus turi tik vieną veidą, dvi tinklaines ir 10 pirštų atspaudų. Jie vaizduoja slaptažodžius, kurie negali būti atkurti, jei jie yra pažeisti.

Kaip ir naudotojų vardai ir slaptažodžiai, biometriniai duomenys yra pažeidžiami dėl duomenų pažeidimų. Pavyzdžiui, 2015 m. Buvo pažeista 5,6 mln. JAV federalinių darbuotojų pirštų atspaudų duomenų bazė. Šie žmonės neturėtų naudoti savo pirštų atspaudų, kad apsaugotų asmeninius ar darbinius įrenginius. Kitas pažeidimas gali pavogti nuotraukas ar tinklainės nuskaitymo duomenis, kad šie biometriniai duomenys būtų saugūs.

Mūsų komanda jau daugelį metų bendradarbiauja su kitų institucijų darbuotojais ir išrado naują biometrinį tipą, kuris yra unikaliai susietas su vienu žmogumi ir gali būti atstatytas, jei reikia.

Proto viduje

Kai žmogus žiūri į nuotrauką ar girdi muzikos gabalėlį, jos smegenys reaguoja taip, kad tyrėjai ar medicinos specialistai galėtų matuoti elektrinius jutiklius, esančius ant galvos odos. Mes nustatėme, kad kiekvieno žmogaus smegenys reaguoja kitaip nei išorinis stimulas, todėl net jei du žmonės žiūri į tą pačią nuotrauką, jų smegenų veiklos rodmenys bus skirtingi.

Šis procesas yra automatinis ir nesąmoningas, todėl žmogus negali kontroliuoti, kas vyksta smegenų reakcijoje. Ir kiekvieną kartą, kai žmogus mato tam tikros garsenybės nuotrauką, jų smegenys reaguoja taip pat - nors ir skirtingai nuo visų kitų.

Mes supratome, kad tai suteikia galimybę sukurti unikalią kombinaciją, kuri gali tapti „smegenų slaptažodžiu“. Tai ne tik jų kūno fizinis atributas, pavyzdžiui, pirštų atspaudas ar kraujagyslių modelis tinklainėje. Vietoj to, tai yra unikalus žmogaus biologinės smegenų struktūros ir jų priverstinės atminties derinys, kuris lemia, kaip jis reaguoja į tam tikrą stimulą.

Smegenų slaptažodžio sudarymas

Asmens smegenų slaptažodis - tai skaitmeninis jų smegenų veiklos rodmuo, žiūrint į keletą nuotraukų. Kaip ir slaptažodžiai yra saugesni, jei jame yra įvairių tipų simbolių - raidės, skaičiai ir skyryba - smegenų slaptažodis yra saugesnis, jei jame yra smegenų bangų rodmenų, žiūrinčių į įvairių rūšių kolekciją.

Norint nustatyti slaptažodį, asmuo būtų autentifikuotas kitu būdu - pvz., Atvykti dirbti pasu ar kitu tapatybės nustatymu, arba pirštų atspaudai ar veidas tikrinami pagal esamus įrašus. Tuomet žmogus padėtų ant minkštos, patogios kepurės ar paminkštinto šalmo su elektriniais jutikliais. Monitorius parodytų, pavyzdžiui, kiaulės vaizdą, Denzel Vašingtono veidą ir tekstą Paskambink man Ismael, Hermano Melvilio klasikinio sakinio pradžios sakinys, Moby-Dick.

Jutikliai įrašys asmens smegenų bangas. Kaip ir registruojant pirštų atspaudą „iPhone“ ID tapatybei, reikės atlikti kelis rodmenis, kad surinktumėte visą pradinį įrašą. Mūsų tyrimai patvirtino, kad tokių nuotraukų derinys sukeltų tam tikro asmens unikalius smegenų bangų rodmenis ir atitiktų vieną prisijungimo bandymą kitam.

Vėliau, kad galėtumėte prisijungti arba pasiekti prieigą prie pastato ar saugios patalpos, žmogus įdėti į skrybėlę ir žiūrėti vaizdų seką. Kompiuterinė sistema lygintų savo smegenų bangas tuo metu, kas buvo iš pradžių saugoma, ir, priklausomai nuo rezultatų, suteikė prieigą arba atsisakė. Tai užtruks apie penkias sekundes, o ne ilgiau nei įvesdami slaptažodį arba įvedus PIN kodą į skaičių klaviatūrą.

Po Hack

Po beveik neišvengiamo prisijungimo duomenų bazės įsilaužimo atsiranda tikrasis smegenų slaptažodžių pranašumas. Jei įsilaužėlis įsilaužia į sistemą, kurioje saugomi biometriniai šablonai arba naudoja elektroniką, kad suklastotų asmens smegenų signalus, ši informacija saugumo požiūriu nebėra naudinga. Asmuo negali pakeisti savo veido ar pirštų atspaudų, tačiau jie gali pakeisti savo smegenų slaptažodį.

Pakankamai paprasta autentifikuoti asmens tapatybę kitu būdu ir paprašyti, kad jie nustatytų naują slaptažodį, peržiūrėdami tris naujus vaizdus - galbūt šį kartą su šuns nuotrauka, Džordžo Vašingtono piešiniu ir Gandhi citata. Kadangi jie skiriasi nuo pradinio slaptažodžio, smegenų bangų modeliai taip pat būtų skirtingi. Mūsų tyrimai parodė, kad naujas smegenų slaptažodis būtų labai sunku užpuolikams išsiaiškinti, net jei jie bandė naudoti senus „brainwave“ rodmenis kaip pagalbą.

Smegenų slaptažodžiai yra be galo atkuriami, nes yra tiek daug galimų nuotraukų ir daugybė derinių, kuriuos galima padaryti iš tų vaizdų. Negalima baigti šių biometrinių duomenų apsaugos priemonių.

Saugi - ir saugi

Kaip mokslininkai žinome, kad darbdaviui ar interneto paslaugai gali būti nerimą keliantis ar net baisus naudoti autentifikavimą, kuris skaito žmonių smegenų veiklą. Dalis mūsų tyrimų parodė, kaip imtis tik minimalių rodmenų, kad būtų užtikrintas patikimas rezultatas - ir tinkamas saugumas - nereikalaujant tiek daug matavimų, kuriuos asmuo gali jaustis pažeistas ar susirūpinęs, kad kompiuteris bandė perskaityti savo protą.

Iš pradžių bandėme naudoti 32 jutiklius visame žmogaus gale ir nustatėme, kad rezultatai buvo patikimi. Tada mes palaipsniui sumažinome jutiklių skaičių, kad pamatytume, kiek jų tikrai reikėjo, ir nustatėme, kad galime gauti aiškius ir saugius rezultatus tik su trimis tinkamai įrengtais jutikliais.

Tai reiškia, kad mūsų jutiklio įrenginys yra toks mažas, kad jis gali nepastebimai pritvirtinti skrybėlę ar virtualiosios realybės ausines. Tai atveria duris daugeliui galimų naudojimo būdų. Pavyzdžiui, žmogus, turintis protingą galvos apdangalą, galėtų lengvai atrakinti duris ar kompiuterius su smegenų slaptažodžiais. Mūsų metodas taip pat galėjo sunkiau pavogti automobilius - prieš pradedant eksploatuoti, vairuotojas turėtų įdėti skrybėlę ir pažvelgti į kelis vaizdus, ​​rodomus prietaisų skydelio ekrane.

Kitos galimybės atsiranda, kai atsiranda naujų technologijų. Kinijos elektroninės komercijos milžinas „Alibaba“ neseniai pristatė virtualios realybės sistemą, skirtą pirkti daiktus, įskaitant pirkimų internetu paiešką VR aplinkoje. Jei mokėjimo informacija yra saugoma VR ausinėje, kiekvienas, kuris jį naudoja arba pavogia, galės nusipirkti bet kokį turimą. Laisvų rankų įranga, kuri skaito naudotojo smegenų bangas, pirkimus, prisijungimus arba fizinę prieigą prie jautrių sričių padarytų daug saugesnę.

Šis straipsnis iš pradžių buvo paskelbtas Wenyao Xu, Feng Lin ir Zhanpeng Jin pokalbiuose. Skaitykite originalų straipsnį čia.