Hur man skapar lösenord som inte kan äventyras av tortyr eller tvång

Att skydda information har blivit en av de viktigaste och mest betydelsefulla uppgifterna i det moderna samhället. Många människor har vant sig vid att memorera lösenord och PIN-nummer, ibland av förvirrande komplexitet. Andra använder biometriska indikatorer för skydd: fingeravtryck, iris och liknande kan alla hjälpa till att identifiera individer.





Men dessa system är inte perfekta. Ett betydande problem är hotet om tvång – att tvingas avslöja ett lösenord eller placera ett finger i fingeravtrycksläsaren.

Idag har Max Wolotsky på Cal Poly Pomona och ett par kompisar kommit på en lösning som kan avgöra om en individ tvingas och förneka autentisering som ett resultat.

Systemet är enkelt i konceptet. Wolotsky och cos idé är att använda kroppens stressnivåer för att avgöra om de tvingas på något sätt. Och de gör detta genom att mäta individens svar på chill musik som de tidigare identifierat som avkopplande.



Chillmusik kallas så för att den framkallar en rysning längs ryggraden, en respons som liknar att vara kall. Det är de fysiologiska effekterna av denna rysning som Wolotsky och co försökte mäta genom att övervaka hjärtslag och hjärnvågsmönster.

Deras hypotes är att dessa signaler är omöjliga att fejka och endast möjliga att mäta när motivet är avslappnat. Varje tvång skulle resultera i en annan signal.

För att ta reda på om så är fallet bad teamet fem testpersoner att välja sitt favoritstycke chillmusik och övervakade sedan deras hjärtslag och hjärnvågor medan de lyssnade.



Speciellt fokuserade teamet på de ögonblick i musiken som utlöser chillresponsen under antagandet att detta alltid inträffar vid samma punkt i noten. Denna del av musiken – mindre än en minut eller så – blir sedan nyckeln till autentiseringsprocessen.

Tanken är att om försökspersonen är avslappnad kan han eller hon uppleva kylan i framtiden och återskapa de fysiologiska signaler som är förknippade med detta.

Faktum är att teamet genomförde ett antal tester och fann att deras försökspersoner kunde klara testet med 90 procent framgång.



Det finns några varningar såklart. Teamet kunde inte testa sina försökspersoners svar under någon form av stress för att simulera den typ av tvång som detta test är utformat för att förhindra. En anledning till att vi inte gjorde detta är för att det är oetiskt att hota testpersoner för att verifiera att vårt system är helt tvångsresistent, eftersom det kan lämna försökspersoner med permanenta fysiska eller psykiska skador, säger de.

Det är en betydande begränsning. Om teamet inte har kontrollerat att det fungerar under de förhållanden som det är designat att fungera under, hur kan det vara säkert att det är säkert? Det finns andra potentiella problem också. Den information som kan dra nytta av den här typen av ökat skydd kommer sannolikt att vara enormt värdefull, saker som lanseringskoderna för kärnvapen, kanske. (En av författarna arbetar på Sandia National Laboratories, som ansvarar för hantering av kärnkraftslager.)

Men brådskande tillgång till denna typ av information kan bara vara nödvändig i tider av hög stress, och detta kan göra testet ogiltigt. Tanken på att någon försöker komma åt lanseringskoderna när tredje världskriget utspelar sig, men måste slappna av i förväg, har något av en svart komedi över sig.



Ändå är utvecklingen av tvångsbeständiga lösenord ett viktigt mål. Wolotsky och co har tagit några trevande steg som andra kan bygga vidare på.

Ref: http://arxiv.org/abs/1605.01072: Chill-Pass: Användning av neurofysiologiska svar på chill musik för att besegra tvångsattacker

Dölj