Varför vi inte borde veta våra egna lösenord

Varför vi inte borde veta våra egna lösenord

Sedan 2009, amerikanska tull- och gränsskyddsmedlemmarna har fått lov att söka efter elektroniska enheter genom av medborgarna eller icke-medborgare som de passerar gränsen till USA från andra länder. Mer sistnämnd föreslog hemlandsäkerhetssekreteraren John Kelly att denna digitala vetting också skulle inkludera skörda sociala medier lösenord. Kellys förslag fick juridiska och tekniska experter att reagera med en öppet brev uttrycka djup oro över någon politik som kräver att enskilda bryter mot "första regeln för onlinesäkerhet": Dela inte dina lösenord. Avlyssningen

Resenärer själva svarade också letar efter sätt att undvika överlämnande av sina enhetslösenord till federala agenter. Ett tillvägagångssätt - vad vi kanske kallar "Inget att se här" -metoden - försöker göra en apparat oanvändbar av radera hårddisken innan du reser, avinstallera sociala medier apps, låta enhetens batteriladdning sluta eller torka enheten om en akut eller "tuff" lösenord antecknades.

Den "Jag skulle älska att uppfylla, men jag kan inte" -metoden innefattar exotiska lösningar som att installera tvåfaktors autentisering på enheten eller sociala medier-kontot och sedan göra den andra faktorn (t.ex. ett lösenord eller en digital nyckel) endast tillgänglig på en avlägsen plats. Att hämta den andra faktorn skulle kräva en warrant och resa utanför gränsövergången.

Dessa metoder är farliga eftersom de sätter en redan stressad resenär i stället för att tappa brottsbekämpning vid gränsen, a laglig miljö som är utformad för att stödja regeringen och inte resenären. Att följa detta råd kräver också noggrant utförande av tekniska färdigheter som de flesta resenärer inte har. Och graden av förskottsplanering och förberedelse som krävs kan i sig betraktas som ett tecken på misstänkt aktivitet som kräver djupare granskning av gränspersonal.

Men det är frestande att undra: Kan datorforskare och mjukvarudesigners som jag skapa ett bättre lösenordssystem? Kan vi göra "Jag skulle älska att uppfylla, men jag kan inte" det enda möjliga svaret för alla resenärer? Kort sagt, kan vi skapa lösenord även om deras ägare inte vet?

Sökningen efter det okända lösenordet

Att utveckla okända lösenord är ett aktivt område för säkerhetsforskning. I 2012 utvecklade ett team från Stanford University, Northwestern University och SRI Research Center ett system för att använda ett datorspel som liknar "Guitar Hero" till träna den undermedvetna hjärnan för att lära sig en rad tangenttryckningar. När en musiker memorerar hur man spelar en musik, behöver hon inte tänka på varje anteckning eller sekvens. Det blir en ingreppet, utbildad reaktion som kan användas som ett lösenord men nästan omöjligt, även för musiker att ställa ut anteckning med anteckning eller för att användaren ska avslöja brev per brev.

Dessutom är systemet utformat så att även om lösenordet upptäcks kan angriparen inte komma in i tangenttryckningarna med samma fluiditet som den utbildade användaren. Kombinationen av tangenttryckningar och enkel prestanda kopplar unikt lösenordet till användaren, samtidigt som användaren befriar sig från att behöva komma ihåg något medvetet.

Tyvärr kan agenten i vårt gränsresor scenario kräva att resenären låser upp enheten eller applikationen med hjälp av det undermedvetna lösenordet.

Ett team vid California State Polytechnic University, Pomona, föreslog en annan lösning i 2016. Deras lösning kallas Chill-Pass, mäter individens unika hjärnkemisvar medan du lyssnar på hennes val av avslappnande musik. Denna biometriska reaktion blir en del av användarens inloggningsprocess. Om en användare är medveten kommer hon inte att kunna slappna av tillräckligt för att matcha sitt tidigare uppmätta "chill" -läge, och inloggningen misslyckas.

Det är oklart huruvida CBP-agenter skulle kunna besegra ett system som Chill-Pass genom att ge resenärer med, säg massagestolar och spabehandlingar. Trots det kommer det dagliga livet att göra det opraktiskt att använda den här typen av lösenord regelbundet. Ett avkopplingsbaserat system skulle vara mest användbart för personer som utför högstatsuppdrag där de fruktar tvång.

Och precis som med andra planer på att göra CBP-granskning omöjlig, kan det här äntligen locka upp mer uppmärksamhet åt en resenär än att uppmuntra tjänstemän att ge upp och gå vidare till nästa person.

Kan du göra säkerhet?

I 2015 meddelade Google Projekt Abacus, en annan lösning på "Jag skulle älska att uppfylla, men jag kan inte" problemet. Det ersätter det traditionella lösenordet med ett "Trust Score", en proprietär cocktail av egenskaper som Google har bestämt kan identifiera dig. Poängen innehåller biometriska faktorer som typmönster, gånghastighet, röstmönster och ansiktsuttryck. Och det kan innehålla din plats och andra ospecificerade element.

Kalkylatorn för trustpoäng löper ständigt i bakgrunden av en smartphone eller annan enhet, uppdaterar sig med ny information och räknar om poängen hela dagen. Om Trust Score ligger under ett visst tröskelvärde, säg genom att observera ett konstigt typmönster eller en obekant plats, kräver systemet att användaren anger ytterligare autentiseringsuppgifter.

Det är oklart hur en autentisering av Trust Score kan påverka en gränssökning. En CBP-agent kan fortfarande kräva att en resenär låser upp enheten och dess appar. Men om byrån inte kunde inaktivera Trust Score-systemet, skulle telefonens ägare få lov att hålla enheten och använda den genom agentens inspektion. Om någon annan försökte använda den, kan det ständigt omräknade Trust-resultatet falla och låsa ut en utredare.

Den processen skulle åtminstone säkerställa att en telefonens ägare visste vilken information federala agenter samlade från telefonen. Det har inte varit möjligt för några anländer resenärer, inklusive Amerikanska medborgare och till och med statliga medarbetare.

Men Trust Score-systemet ger mycket kontroll i händerna på Google, ett vinstdrivande företag som kan bestämma - eller skulle kunna tvingas - Att ge regeringen en väg runt det.

Så nu vad?

Ingen av dessa tekniska lösningar på lösenordsproblemet är perfekt, och ingen av dem är kommersiellt tillgängliga idag. Fram till forskning, industri och innovation kommer bättre, vad är en digital åldersresenär att göra?

Först ljug inte för en federal agent. Det är en grov förbrytelse och kommer definitivt att locka mer oönskade uppmärksamhet från utredare.

Därefter bestämma hur mycket besvär du är villig att tolerera för att vara tyst eller att vägra att följa. Icke-överensstämmelse kommer att ha en kostnad: Dina enheter kan hanteras och din resa kan bli allvarligt störd.

Hur som helst, om och när du blir ombedd för dina sociala medier handtag eller lösenord eller för att låsa upp dina enheter, var uppmärksam och kom ihåg så många detaljer som möjligt. Då, om du vill, varna en digital grupp för borgerliga friheter att detta hände. Electronic Frontier Foundation har en webbsida med instruktioner för hur man rapporterar en enhetssökning vid gränsen.

Om du tycker att känsliga material kan ha äventyras i sökningen, meddela familj, vänner och kollegor som kan påverkas. Och - tills vi räknar ut ett bättre sätt - ändra dina lösenord.

Om författaren

Megan Squire, professor i datavetenskap, Elon University

Den här artikeln publicerades ursprungligen den Avlyssningen. Läs ursprungliga artikeln.

relaterade böcker

{amazonWS: searchindex = Böcker; nyckelord = dataintegritet; maxresults = 3}

enafarzh-CNzh-TWnltlfifrdehiiditjakomsnofaptruessvtrvi

följ InnerSelf på

facebook-icontwitter-iconrss-icon

Få det senaste via e-post

{Emailcloak = off}