Hoekom ons ons eie wagwoorde nie moet ken nie

Hoekom ons ons eie wagwoorde nie moet ken nie

Sedert 2009, Amerikaanse Doeane- en Grensbeskermingsagente is toegelaat om elektroniese toestelle te soek uitgevoer deur burgers of nie-burgers omdat hulle die grens in die Verenigde State van ander lande oorsteek. Meer onlangs het die tuisland sekretaris-sekretaris John Kelly voorgestel dat hierdie digitale waarskuwing ook moet insluit oes sosiale media wagwoorde. Kelly se voorstel het regs- en tegnologie-kundiges gevra om te reageer met 'n ope brief baie kommer uitgespreek oor enige beleid wat vereis dat individue die "eerste reël van aanlyn sekuriteit oortree": moenie jou wagwoorde deel nie. Die gesprek

Reisigers self het ook gereageer, op soek na maniere om te verhoed dat hul toestel wagwoorde oorgegee word aan federale agente. Een benadering - wat ons die metode "Niks om te sien hier" kan noem - probeer om 'n toestel onondersoekbaar te maak die hardeskyf verwyder voordat u reis, verwyder van sosiale media-programme, laat die toestel se batterylading uitloop of selfs die toestel uitvee as 'n noodgeval of "wag" wagwoord is ingeskryf.

Die "Ek wil graag om te voldoen, maar ek kan nie" benadering behels eksotiese oplossings soos die installeer van twee-faktor-verifikasie op die toestel of sosiale media-rekening, en maak dan die tweede faktor (soos 'n wagwoord of digitale sleutel) Slegs beskikbaar in 'n afgeleë plek. Die opsporing van die tweede faktor sal 'n lasbrief vereis en buite die grensoorgang reis.

Hierdie metodes is gevaarlik omdat hulle 'n reeds gestreserde reisiger in die posisie van die handhawing van wetstoepassing aan die grens, a wetlike omgewing wat ontwerp is om die regering te ondersteun en nie die reisiger nie. Na aanleiding van hierdie raad behoorlik vereis ook versigtig uitvoering van tegniese vaardighede wat die meeste reisigers nie het nie. En die mate van voorafbeplanning en voorbereiding wat nodig is, kan self beskou word as 'n teken van verdagte aktiwiteite wat die grensbeamptes dieper ondersoek.

Maar dit is aanloklik om te wonder: Kan rekenaarwetenskaplikes en sagteware-ontwerpers soos ek 'n beter wagwoordstelsel skep? Kan ons maak "Ek wil graag voldoen, maar ek kan nie" die enigste moontlike antwoord vir elke reisiger nie? Kortom, kan ons wagwoorde skep selfs hul eienaars weet nie?

Die soektog na die onkenbare wagwoord

Die ontwikkeling van onkenbare wagwoorde is 'n aktiewe gebied van sekuriteitsnavorsing. In 2012 het 'n span van Stanford Universiteit, Noordwes-Universiteit en die SRI-navorsingsentrum 'n skema ontwikkel vir die gebruik van 'n rekenaarspeletjie soortgelyk aan "Guitar Hero" om lei die onderbewuste brein op om 'n reeks toetsaanslagen te leer. Wanneer 'n musikant onthou hoe om 'n stuk musiek te speel, hoef sy nie oor elke noot of volgorde te dink nie. Dit word 'n ingeburgerde, opgeleide reaksie wat as 'n wagwoord gebruik kan word, maar byna onmoontlik, selfs al kan die musikant notas per noot uitspreek of vir die gebruiker om die brief per brief bekend te maak.

Daarbenewens is die stelsel so ontwerp dat selfs die wagwoord ontdek word, die aanvaller nie die toetsaanslagen met dieselfde vloeibaarheid as die opgeleide gebruiker kan betree nie. Die kombinasie van toetsaanslagen en die gemak van die prestasie verbind uniek die wagwoord aan die gebruiker, terwyl die gebruiker vrygemaak word om enigiets bewus te onthou.

Ongelukkig kan die agent in ons grensreis-scenario vereis dat die reisiger die toestel of program ontsluit deur die onderbewuste wagwoord te gebruik.

'N Span by die California State Polytechnic University, Pomona, het 'n ander oplossing in 2016 voorgestel. Hul oplossing, genoem Chill-Pass, meet 'n individu se unieke breinchemie-reaksie terwyl sy na haar keuse van ontspannende musiek luister. Hierdie biometriese reaksie word deel van die gebruiker se aanmeldproses. As 'n gebruiker onder dwang is, kan sy nie genoeg ontspan om by haar voorheen gemete "chill" -toestand te pas nie, en sal die inskrywing misluk.

Dit is onduidelik of CBP-agente in staat sal wees om 'n stelsel soos Chill-Pass te verslaan deur reisigers te voorsien van byvoorbeeld massagestoele en spa-behandelings. Tog sal die spanning van die daaglikse lewe dit onprakties maak om hierdie soort wagwoord gereeld te gebruik. 'N ontspanning-gebaseerde stelsel sou die meeste nuttig wees vir mense wat hoë-stakes missies waar hulle vrees dwang.

En net soos met ander planne om CBP-ondersoek onmoontlik te maak, sal dit dalk meer aandag aan 'n reisiger lok, eerder as om beamptes aan te moedig om op te gee en na die volgende persoon te beweeg.

Kan jy sekuriteit telling?

In 2015 het Google aangekondig Projek Abacus, 'n ander oplossing vir die "Ek wil graag, maar ek kan nie" probleem. Dit vervang die tradisionele wagwoord met 'n "Trust telling", 'n eie cocktail van eienskappe wat Google bepaal het, kan jou identifiseer. Die telling sluit in biometriese faktore soos jou tikpatrone, spoedspoed, stempatrone en gesigsuitdrukkings. En dit kan jou ligging en ander ongespesifiseerde elemente insluit.

Die rekenaar telling telling loop voortdurend op die agtergrond van 'n slimfoon of ander toestel, wat homself opdateer met nuwe inligting en die telling opnuut regdeur die dag herbereken. As die trust telling onder 'n sekere drempel val, sê deur 'n vreemde tikpatroon of 'n onbekende plek te sien, sal die stelsel vereis dat die gebruiker addisionele verifikasiebewyse moet invul.

Dit is onduidelik hoe 'n Trust Score-verifikasie 'n grenssoektog kan beïnvloed. 'N CBP-agent kan steeds eis dat 'n reisiger die toestel en sy programme ontsluit. Maar as die agentskap nie die Trust-tellingstelsel kon uitskakel nie, sou die eienaar van die telefoon toegelaat moet word om die toestel te hou en dit deur die agent se inspeksie te gebruik. As iemand anders probeer het om dit te gebruik, kan die voortdurend herberekende trust telling val en 'n ondersoeker sluit.

Daardie proses sal ten minste verseker dat 'n foon se eienaar geweet het watter inligting federale agente van die telefoon af versamel het. Dit is nie moontlik vir sommige aankomende reisigers nie, insluitend Amerikaanse burgers en selfs staatsamptenare.

Maar die Trust-tellingstelsel plaas baie beheer in die hande van Google, 'n winsgewende korporasie wat kan besluit - of kan gedwing word - Om die regering 'n manier daaroor te bied.

So nou wat?

Nie een van hierdie tegnologiese oplossings vir die wagwoordprobleem is perfek nie, en nie een van hulle is vandag beskikbaar nie. Tot navorsing, industrie en innovasie kom beter mense op, wat is 'n digitale ouderdomsreisiger om te doen?

Eerstens, moenie aan 'n federale agent lieg nie. Dis 'n misdaad en sal beslis meer ongewenste aandag van ondersoekers lok.

Bepaal vervolgens hoeveel ongerief jy bereid is om te duld om te swyg of weier om te voldoen. Nie-nakoming sal 'n koste hê: Jou toestelle kan beslag gelê word en jou reis kan ernstig ontwrig word.

Hoe dan ook, as en wanneer jy gevra word vir jou sosiale media handvatsels of wagwoorde, of om jou toestelle te ontsluit, let op en onthou soveel besonderhede as wat jy kan. Dan, as jy wil, let op 'n digitale burgerlike vryhede groep wat dit gebeur het. Die Electronic Frontier Foundation het 'n webblad met instruksies vir hoe om 'n toestelsoektog by die grens aan te meld.

As jy dink dat sensitiewe materiale moontlik in die soektog gekompromitteer kon word, stel familie, vriende en kollegas in kennis wat dalk geraak word. En - tot ons 'n beter manier uitvind - verander jou wagwoorde.

Oor Die Skrywer

Megan Squire, professor in rekenaarwetenskap, Elon Universiteit

Hierdie artikel is oorspronklik gepubliseer op Die gesprek. Lees die oorspronklike artikel.

verwante Boeke

{amazonWS: search index = Boeke; sleutelwoorde = rekenaar privaatheid; maxresults = 3}

enafarzh-CNzh-TWnltlfifrdehiiditjakomsnofaptruessvtrvi

volg InnerSelf op

Facebook-ikoonTwitter-ikoonrss-ikoon

Kry die nuutste per e-pos

Emailcloak = {af}