Stanford

Zatvori

Jedini 100% sigurni password ni sami ne znate

Znanstvenici razvijaju logiranje podsvjesnim passwordima kojih niste ni sami svjesni.

Računalni zanstvenik Hristo Bojinov sa Sveučilišta u Stanfordu želi da zaboravite svoje passworde, ili preciznije, hoće da ih nikada ni ne zapamtite.

Bojinov i njegovi kolege proizveli su računalni program koji implantira passworde u korisnikovu podsvijest, a potom ih iz nje izvlači, također podsvjesno.

Ova tehnika bi na primjer, onemogućila vladine agencije i razne agente da dođu do vaših passworda, jer ih ne biste ni vi znali, pa bi im uzalud bilo hakiranje vaših telefona i računala, ali i žešće metode poput mučenja.

"Problem s passwordima je u tome što ih je jednostavno probiti", kaže Ram Pemmaraju, CTO tvrtke za sigurnost StrikeForce Technologies. "Alati za njihovo razbijanje poput malwarea, kao i open source softver uparen sa snažnim procesorima, može razbiti bilo koji password kroz nekoliko dana, a one jednostavnije kroz nekoliko dana, sati ili minuta".

Pemmaraju za primjer navodi password sa sedam brojnoslovčanih oznaka. Prije 5 do 10 godina, najsnažnijim računalima bi za njegovo razbijanje trebalo više od 1.000 godina, a današnja kućna računala to mogu izvesti za manje od mjesec dana. Obzirom na rast računalne snage, mnogi eksperti predlažu passworde od 20-30 brojki i slova, no ljudi zbog ljenosti ne žele zapamtiti takve "kobasice", pa čak 5% passworda prema rezultatima jedne studije predstavlja inačicu riječi "password".

Bojinov i znanstvenici njegovog tima su stoga nastojali da osoba podsvjesno nauči password, te se uopće ne mora truditi da ga zapamti, jer ga neće izgubiti ni slučajno.

U studiji koju je prezentirao na USENIX sigurnosnom simpoziju, Bojinov jer prvo pokazao kako ljudi mogu podsvjesno pohranjivati passworde, i potom ih izvlačiti iz svoje svijesti.

U eksperimentu sudionici su učili password igrajući računalnu igru. Na ekranu su crni krugovi padali jedan za drugim od vrha do dna, sa šest kolumni s oznakama S, D, F, J, K i L. Kada je krug dodirnuo dno, korisnik je upisao slovo koje odgovara toj kolumni. Igra, koja se sastoji od skoro 40.000 pritisaka tipkovnice, završi se kroz 30 do 45 minuta. Mada to igrač ne zna, igra sadrži password, sekvencu od 30 slova koju su upisivali 105 minuta. Kada igru završite, znate dovoljno o passwordu da vam se čini poznatim, ali ga niste u stanju prepoznati. Kako biste svoj password mogli izvući iz podsvijesti potrebno je da igrate 10-minutnu verziju igre, a računalo će izvući vaš password i logirati vas na određeni servis.

U budućnosti bi ljudi mogli koristiti slične igre da se logiraju na svoja računala, no Bojinov kaže kako su ovo tek preliminarna istraživanja, jer je proces učenja, odnosno usađivanja passworda u podsvijest predug za većinu ljudi.

Stoga je on trenutno fokusiran na izradu sustava namijenjenog sigurnosnim aplikacijama visokog rizika, za koje bi učenje passworda u trajanju od 45 minuta imalo smisla. Također kaže da bi se njegova tehnika mogla koristiti kao vrsta sekundarne autentifikacije, umjesto sigurnosnih pitanja potrebnih za resetiranje passworda ili e-mail računa.

U međuvremenu on i njegov tim rade na poboljšanju točnosti kao i na skraćivanju vremena potrebnog za komunikaciju s podsvjesti, kako bismo jednog dana posjedovali podsvjesne lozinke koje ni sami ne znamo.