關於支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。 透過購買訂閱,您正在幫助確保未來關於塑造當今世界的發現和想法的重要故事的未來。
這看起來像是羅伯特·勒德倫間諜小說中的情節。有人試圖強迫你透露你的計算機安全密碼。你可能很想屈服,但你不可能透露你的身份驗證憑據。你實際上並不知道它們,因為它們被安全地埋藏在你的潛意識深處。
僅僅為了確保沒有人可以登入你的筆記型電腦或智慧手機,這聽起來有點極端,但來自斯坦福大學和西北大學以及 SRI 國際的研究人員團隊仍在計算機、認知和神經科學的交叉領域進行實驗,以打擊身份盜竊並加強網路安全——透過利用人類大腦學習和識別模式的先天能力。
研究人員正在研究如何在大腦皮質紋狀體記憶系統中秘密建立和儲存秘密資料的方法,該系統負責提醒我們如何做事(pdf)。當一個人需要訪問計算機、網路或其他安全系統時,他們將使用特殊的身份驗證軟體來提取該秘密資料。
為了測試這個概念,研究人員設計了一個電腦遊戲,要求玩家在螢幕上向下移動的大黑點穿過水平線時點選鍵盤上的按鈕——這個概念與影片遊戲吉他英雄非常相似。在最初持續 30 分鐘到 1 小時的訓練課程中,點以不同的速度和不同的位置落下,形成重複的模式,直到參與者能夠熟練地在正確的時間按下相應的按鈕。實際上,使用者的皮質紋狀體記憶變得善於隨著時間的推移重複特定的模式,例如撥打電話號碼或在不看手指的情況下在鍵盤上鍵入單詞。
大腦訓練
研究人員將其稱為“序列攔截序列學習”訓練,在此期間,一個人不知不覺地學習了特定的擊鍵序列,該序列稍後可用於確認該人的身份。例如,要登入網站,使用者每次出現該點模式時都會玩相同的遊戲,從而證明自己的身份並允許他訪問。
“雖然植入的秘密可以用於身份驗證,但參與者無法被強迫透露它,因為他或她沒有關於它的有意識的知識,”根據研究人員在 8 月 8 日的簡報中的說法,他們在華盛頓州貝爾維尤舉行的 USENIX 安全研討會上進行了演示。(pdf) 斯坦福大學計算機科學博士候選人、主要作者 Hristo Bojinov 表示,目前構想的隱性學習方法可能可以防止有人強迫或欺騙您透露密碼。這種強迫可能採取物理或口頭威脅的形式,要求您提供密碼或其他安全憑據,或者可能是一通看似合法的電話或電子郵件,旨在哄騙您提供此資訊。
研究人員表示,他們迄今已在 370 名玩家身上測試了他們的方法,並繼續為他們的研究新增新的參與者。該測試目前需要至少 30 分鐘的訓練才能獲得可靠的結果。“訓練時間不太可能大幅縮短,因為這種型別的大腦記憶需要時間來訓練,”Bojinov 說。“可能會縮短[訓練後的]身份驗證時間,但還有待觀察可以縮短多少。”
玩轉系統
這種方法是否實用取決於被防禦的系統。例如,雅虎或谷歌不太可能為他們的免費電子郵件服務實施這種安全方法。有人會想每次登入他們的電子郵件時都玩幾分鐘遊戲嗎? 然而,卡內基梅隆大學資訊網路研究所副主任尼古拉斯·克里斯汀表示,如果使用者每天登入一次並且這種方法有望提高安全性,那麼擁有核武器的政府機構可以更好地證明使用序列學習方法登入所需的時間投入是合理的。
這種隱性學習方法不一定能有效對抗網路駭客攻擊。正如駭客可以侵入儲存密碼的資料庫一樣,他們也可能竊取有關使用者在訓練過程中建立的身份驗證模式的資訊。“某個地方必須儲存身份驗證序列才能進行驗證,這也可能容易受到攻擊,”克里斯汀說。
Bojinov 回應說,他和他的同事正在開發的技術專門針對脅迫問題。“這種機制很可能與其他機制結合使用,”他說,並補充說他和他的同事現在計劃為移動裝置安全設計類似的遊戲,該遊戲將使用更廣泛的操作(例如旋轉或移動裝置以及按下鍵盤上的按鈕)來建立模式。
密碼永續性
儘管多年來一直有人預測密碼最終會被淘汰,轉而採用更安全的身份驗證方法,但密碼仍然存在,因為“到目前為止,它們是安全性和可用性之間更好——或不那麼糟糕——的折衷方案之一,”克里斯汀說。“它們實施成本低廉,幾乎適用於任何情況,而且每個人都知道並理解它們。”
然而,隨著密碼數量的增加,安全技術變得越來越無效,因為它們會加劇使用者記住所有密碼的能力,特別是如果管理大量密碼需要使用者請求密碼重置以替換那些已被遺忘的密碼。駭客已經開始依賴密碼重置功能來劫持人們的電子郵件和其他線上服務,從而在這個過程中將這些使用者鎖定在他們自己的帳戶之外。《大眾科學》描述了這個過程——這是最近針對《連線》記者馬特·霍南的網路攻擊的核心——在 2008 年由計算機安全顧問赫伯特·湯普森撰寫的一篇文章中。
儘管 Bojinov 和他的同事提出的方法要實用還需要做很多工作,但它代表了研究人員解決安全問題方式的一個可喜的轉變。克里斯汀說,Bojinov 和他的同事提出的方法顛倒了可用安全技術的問題。“我們可能會看到越來越多的研究在理解如何利用某些人類能力來提高安全性,”他補充道。
加利福尼亞大學聖地亞哥分校計算機科學與工程教授斯特凡·薩維奇認為,從 Bojinov 和他的同事的研究中得出的最重要的一點不是這種特定的機制是否是嵌入秘密的正確機制,“而是研究人員正在探索神經和認知科學作為設計計算機安全介面的手段”。
薩維奇說:“他們找到了一種在您不知情的情況下將一條資訊塞入您的大腦,然後再將其取出方法。” “他們把你變成了 DRAM,只是你不知道那裡儲存了什麼。這是傑森·伯恩的故事。”