Интернет-безопасность: почему ваши внутренние мысли могут стать вашим следующим паролем

Ваш мозг - неиссякаемый источник надежных паролей, но вам, возможно, не придется ничего запоминать. Пароли и ПИН-коды с буквами и цифрами относительно легко взламываются, плохо запоминаются и, как правило, небезопасны. Биометрия начинает занимать свое место: отпечатки пальцев, распознавание лиц и сканирование сетчатки становятся обычным явлением даже при обычном входе в систему для компьютеров, смартфонов и других распространенных устройств.

Они более безопасны, потому что их сложнее подделать, но у биометрии есть критическая уязвимость: у человека только одно лицо, две сетчатки и 10 отпечатков пальцев. Они представляют собой пароли, которые не могут быть сброшены, если они взломаны.

Как и имена пользователей и пароли, биометрические учетные данные уязвимы для взлома данных. Например, в 2015 году была взломана база данных, содержащая отпечатки пальцев 5,6 млн. Федеральных служащих США. Эти люди не должны использовать свои отпечатки пальцев для защиты любых устройств, как для личного пользования, так и на работе. Следующее нарушение может украсть фотографии или данные сканирования сетчатки, делая эти биометрические данные бесполезными для безопасности.

Наша команда уже много лет работает с коллегами из других учреждений и изобрела новый тип биометрии, который уникальным образом привязан к одному человеку и может быть сброшен при необходимости.

Внутри разума

Когда человек смотрит на фотографию или слышит музыкальное произведение, его мозг реагирует таким образом, что исследователи или медицинские работники могут измерить с помощью электрических датчиков, установленных на голове. Мы обнаружили, что мозг каждого человека по-разному реагирует на внешние раздражители, поэтому даже если два человека смотрят на одну и ту же фотографию, показания их мозговой активности будут разными.

Этот процесс автоматический и неосознанный, поэтому человек не может контролировать реакцию мозга. И каждый раз, когда человек видит фотографию определенной знаменитости, его мозг реагирует одинаково - хотя и не так, как все остальные.

Мы поняли, что это дает возможность для уникальной комбинации, которая может служить тем, что мы называем «мозговым паролем». Это не просто физический атрибут их тела, такой как отпечаток пальца или рисунок кровеносных сосудов в их сетчатке. Вместо этого это смесь уникальной биологической структуры мозга человека и его непроизвольной памяти, которая определяет, как он реагирует на определенный стимул.

Создание пароля для мозга

Мозговый пароль человека - это цифровое считывание его мозговой активности при просмотре серии изображений. Так же, как пароли являются более безопасными, если они содержат различные типы символов - буквы, цифры и знаки препинания, - мозговой пароль является более безопасным, если он включает в себя считывания мозговых волн человека, смотрящего на коллекцию различных видов изображений.

Чтобы установить пароль, лицо должно пройти проверку подлинности другим способом - например, прийти на работу с паспортом или другими документами, удостоверяющими личность, или проверить свои отпечатки пальцев или лицо по существующим записям. Затем человек надевал мягкую удобную шляпу или мягкий шлем с электрическими датчиками внутри. Монитор будет отображать, например, изображение свиньи, лицо Дензела Вашингтона и текст Зовите меня Измаил, вступительное предложение классика Германа Мелвилла, Moby-Dick.

Датчики регистрировали мозговые волны человека. Так же, как при регистрации отпечатка пальца для сенсорного идентификатора iPhone, потребуется несколько показаний, чтобы собрать полную начальную запись. Наше исследование подтвердило, что подобная комбинация картинок будет вызывать чтения мозговых волн, которые являются уникальными для конкретного человека и соответствуют одной попытке входа в другую.

Позже, чтобы войти или получить доступ к зданию или защищенной комнате, человек надевал шляпу и следил за последовательностью изображений. Компьютерная система будет сравнивать их мозговые волны в тот момент с тем, что было изначально сохранено - и либо предоставлять доступ, либо отказывать в этом, в зависимости от результатов. Это займет около пяти секунд, не намного дольше, чем ввод пароля или ввод PIN-кода на цифровой клавиатуре.

После взлома

Реальное преимущество мозговых паролей вступает в игру после почти неизбежного взлома базы данных для входа. Если хакер взломает систему, хранящую биометрические шаблоны, или использует электронику для подделки сигналов мозга человека, эта информация больше не будет полезна для безопасности. Человек не может изменить свое лицо или отпечатки пальцев - но он может изменить свой мозговой пароль.

Достаточно просто подтвердить подлинность личности другого человека и попросить его установить новый пароль, посмотрев на три новых изображения - возможно, на этот раз с фотографией собаки, рисунком Джорджа Вашингтона и цитатой Ганди. Поскольку они отличаются от исходного пароля, паттерны мозговых волн также будут другими. Наше исследование показало, что злоумышленникам будет очень сложно определить новый мозговой пароль, даже если они попытаются использовать старые показания мозговых волн в качестве помощи.

Пароли мозга можно бесконечно сбрасывать, поскольку из этих изображений можно сделать так много возможных фотографий и множество комбинаций. Невозможно исчерпать эти усиленные биометрическими мерами безопасности.

Безопасный - и безопасный

Как исследователи, мы знаем, что работодателю или интернет-службе может быть тревожно или даже страшно использовать аутентификацию, которая считывает мозговую активность людей. Часть нашего исследования заключалась в том, чтобы выяснить, как взять только минимальное количество показаний для обеспечения надежных результатов - и надлежащей безопасности - без необходимости в таком большом количестве измерений, чтобы человек мог чувствовать себя нарушенным или обеспокоенным тем, что компьютер пытается прочитать их мысли.

Первоначально мы попытались использовать 32 датчика по всей голове человека, и обнаружили, что результаты были надежными. Затем мы постепенно уменьшили количество датчиков, чтобы увидеть, сколько действительно было нужно, и обнаружили, что мы можем получить четкие и надежные результаты, используя только три правильно расположенных датчика.

Это означает, что наше сенсорное устройство настолько маленькое, что может незаметно поместиться в шапку или гарнитуру виртуальной реальности. Это открывает двери для многих потенциальных применений. Например, человек в умных головных уборах может легко открыть двери или компьютеры с помощью мозговых паролей. Наш метод также может усложнить угон автомобилей - перед запуском водитель должен надеть шляпу и посмотреть на несколько изображений, отображаемых на экране приборной панели.

Другие возможности открываются по мере появления новых технологий. Китайский гигант электронной коммерции Alibaba недавно представил систему использования виртуальной реальности для покупок предметов, включая совершение покупок онлайн прямо в среде виртуальной реальности. Если информация о платеже хранится в гарнитуре VR, любой, кто ее использует или ворует, сможет купить все, что доступно. Гарнитура, которая считывает мозговые волны своего пользователя, сделает покупки, логины или физический доступ к чувствительным областям намного более безопасным.

Эта статья была первоначально опубликована в «Беседе» Веньяо Сюй, Фенг Лин и Чжанпэн Цзинь. Прочитайте оригинальную статью здесь.