Hvordan lage passord som ikke kan kompromitteres av tortur eller tvang

Beskyttelse av informasjon har blitt en av de viktigste og mest betydningsfulle oppgavene i det moderne samfunnet. Mange mennesker har blitt vant til å huske passord og PIN-numre, noen ganger av forvirrende kompleksitet. Andre bruker biometriske indikatorer for beskyttelse: fingeravtrykk, iris og lignende kan bidra til å identifisere individer.

Men disse systemene er ikke perfekte. Et betydelig problem er trusselen om tvang – å bli tvunget til å avsløre et passord eller plassere en finger i fingeravtrykkskanneren.

I dag har Max Wolotsky ved Cal Poly Pomona og et par venner kommet opp med en løsning som kan avgjøre om en person blir tvunget og nekte autentisering som et resultat.



Systemet er enkelt i konseptet. Wolotsky og cos idé er å bruke kroppens stressnivåer for å finne ut om de blir tvunget på noen måte. Og de gjør dette ved å måle individets respons på chill musikk de tidligere identifiserte som avslappende.

Chill musikk er såkalt fordi den provoserer frem en skjelving nedover ryggraden, en respons som ligner på å være kald. Det er de fysiologiske effektene av denne skjelvingen som Wolotsky og co forsøkte å måle ved å overvåke hjerteslag og hjernebølgemønstre.

Deres hypotese er at disse signalene er umulige å forfalske og kun mulige å måle når motivet er avslappet. Enhver tvang vil resultere i et annet signal.

For å finne ut om dette er tilfellet, ba teamet fem testpersoner velge sitt favorittstykke avslappende musikk og overvåket deretter hjerterytmen og hjernebølgene mens de lyttet.

Spesielt fokuserte teamet på øyeblikkene i musikken som utløser chill-responsen under antagelsen om at dette alltid skjer på samme punkt i partituret. Denne delen av musikken – mindre enn et minutt eller så – blir nøkkelen til autentiseringsprosessen.

Tanken er at hvis forsøkspersonen er avslappet, kan han eller hun oppleve frysningen i fremtiden og reprodusere de fysiologiske signalene knyttet til dette.

Faktisk gjennomførte teamet en rekke tester og fant ut at forsøkspersonene deres klarte å bestå testen med en suksessrate på 90 prosent.

Det er noen forbehold, selvfølgelig. Teamet var ikke i stand til å teste forsøkspersonenes respons under noen form for stress for å simulere den typen tvang som denne testen er designet for å hindre. En grunn til at vi ikke gjorde dette er fordi det er uetisk å true testpersoner for å verifisere at systemet vårt er fullt tvangsbestandig, da det kan etterlate forsøkspersoner med varig fysisk eller psykisk skade, sier de.

Det er en betydelig begrensning. Hvis teamet ikke har sjekket at det fungerer under forholdene det er designet for å operere under, hvordan kan det være sikkert at det er sikkert? Det er også andre potensielle problemer. Informasjonen som kan dra nytte av denne typen økt beskyttelse vil sannsynligvis være enormt verdifull, ting som lanseringskodene for atomvåpen, kanskje. (En av forfatterne jobber ved Sandia National Laboratories, som er ansvarlig for håndtering av kjernefysiske lagre.)

Men hastetilgang til denne typen informasjon kan bare være nødvendig i tider med mye stress, og dette kan gjøre testen ugyldig. Tanken på at noen prøver å få tilgang til lanseringskodene mens tredje verdenskrig utspiller seg, men må slappe av på forhånd, har noe av en svart komedie over seg.

Likevel er utvikling av tvangsbestandige passord et viktig mål. Wolotsky og co har tatt noen tentative skritt som andre kan bygge videre på.

Ref: http://arxiv.org/abs/1605.01072: Chill-Pass: Bruk av nevrofysiologiske reaksjoner på Chill Music for å beseire tvangsangrep

gjemme seg