So erstellen Sie Passwörter, die nicht durch Folter oder Zwang kompromittiert werden können

Der Schutz von Informationen ist zu einer der wichtigsten und bedeutendsten Aufgaben in der modernen Gesellschaft geworden. Viele Menschen haben sich daran gewöhnt, Passwörter und PIN-Nummern auswendig zu lernen, die manchmal verwirrend komplex sind. Andere verwenden biometrische Indikatoren zum Schutz: Fingerabdrücke, Iris und dergleichen können alle helfen, Personen zu identifizieren.

Aber diese Systeme sind nicht perfekt. Ein erhebliches Problem ist die Androhung von Nötigung – gezwungen zu werden, ein Passwort preiszugeben oder einen Finger in den Fingerabdruckscanner zu stecken.

Heute haben Max Wolotsky von Cal Poly Pomona und ein paar Freunde eine Lösung entwickelt, mit der festgestellt werden kann, ob eine Person gezwungen wird, und die Authentifizierung infolgedessen verweigert wird.



Das System ist einfach im Konzept. Die Idee von Wolotsky und Co. ist es, den Stresspegel des Körpers zu nutzen, um festzustellen, ob sie in irgendeiner Weise gezwungen werden. Und sie tun dies, indem sie die Reaktion der Person auf Chill-Musik messen, die sie zuvor als entspannend identifiziert haben.

Chill-Musik wird so genannt, weil sie einen Schauer über den Rücken provoziert, eine Reaktion, die einer Kälte ähnelt. Es sind die physiologischen Auswirkungen dieses Zitterns, die Wolotsky und Co. messen wollten, indem sie Herzschlag- und Gehirnwellenmuster überwachten.

Ihre Hypothese ist, dass diese Signale nicht zu fälschen und nur zu messen sind, wenn die Versuchsperson entspannt ist. Jeder Zwang würde zu einem anderen Signal führen.

Um herauszufinden, ob dies der Fall ist, bat das Team fünf Testpersonen, ihr Lieblingsstück Chill-Musik auszuwählen, und überwachte dann ihren Herzschlag und ihre Gehirnströme, während sie zuhörten.

Insbesondere konzentrierte sich das Team auf die Momente innerhalb der Musik, die die Chill-Reaktion auslösen, in der Annahme, dass dies immer an derselben Stelle in der Partitur auftritt. Dieser Abschnitt der Musik – weniger als eine Minute oder so – wird dann zum Schlüssel für den Authentifizierungsprozess.

Die Idee ist, dass der Proband, wenn er entspannt ist, die Kälte in Zukunft erleben und die damit verbundenen physiologischen Signale reproduzieren kann.

Tatsächlich führte das Team eine Reihe von Tests durch und stellte fest, dass die Probanden den Test mit einer Erfolgsquote von 90 Prozent bestanden.

Es gibt natürlich einige Vorbehalte. Das Team war nicht in der Lage, die Reaktion seiner Probanden unter irgendeiner Art von Stress zu testen, um die Art von Zwang zu simulieren, die dieser Test vereiteln soll. Ein Grund, warum wir dies nicht getan haben, ist, dass es unethisch ist, Testsubjekten zu bedrohen, um zu überprüfen, ob unser System völlig zwangsresistent ist, da dies den Probanden dauerhafte physische oder psychische Schäden zufügen könnte, sagen sie.

Das ist eine erhebliche Einschränkung. Wenn das Team nicht überprüft hat, ob es unter den Bedingungen funktioniert, für die es ausgelegt ist, wie kann es dann sicher sein, dass es sicher ist? Es gibt auch andere potenzielle Probleme. Die Informationen, die von dieser Art des erhöhten Schutzes profitieren könnten, sind wahrscheinlich äußerst wertvoll, Dinge wie die Abschusscodes für Atomwaffen vielleicht. (Einer der Autoren arbeitet bei den Sandia National Laboratories, die für die Verwaltung nuklearer Lagerbestände verantwortlich sind.)

Ein dringender Zugriff auf diese Art von Informationen ist jedoch möglicherweise nur in Zeiten hoher Belastung erforderlich, und dies könnte den Test ungültig machen. Der Gedanke, dass jemand versucht, während des Dritten Weltkriegs auf die Startcodes zuzugreifen, sich aber vorher entspannen muss, hat etwas von einer schwarzen Komödie.

Dennoch ist die Entwicklung zwangsresistenter Passwörter ein wichtiges Ziel. Wolotsky und Co. haben einige vorsichtige Schritte unternommen, auf denen andere aufbauen können.

Ref: http://arxiv.org/abs/1605.01072: Chill-Pass: Using Neuro-Physiological Responses to Chill Music to Defeat Coercion Attacks

verbergen