关于支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。 通过购买订阅,您正在帮助确保未来关于塑造当今世界的发现和想法的重要故事的未来。
这看起来像是罗伯特·勒德伦间谍小说中的情节。有人试图强迫你透露你的计算机安全密码。你可能很想屈服,但你不可能透露你的身份验证凭据。你实际上并不知道它们,因为它们被安全地埋藏在你的潜意识深处。
仅仅为了确保没有人可以登录你的笔记本电脑或智能手机,这听起来有点极端,但来自斯坦福大学和西北大学以及 SRI 国际的研究人员团队仍在计算机、认知和神经科学的交叉领域进行实验,以打击身份盗窃并加强网络安全——通过利用人类大脑学习和识别模式的先天能力。
研究人员正在研究如何在大脑皮质纹状体记忆系统中秘密创建和存储秘密数据的方法,该系统负责提醒我们如何做事(pdf)。当一个人需要访问计算机、网络或其他安全系统时,他们将使用特殊的身份验证软件来提取该秘密数据。
为了测试这个概念,研究人员设计了一个电脑游戏,要求玩家在屏幕上向下移动的大黑点穿过水平线时点击键盘上的按钮——这个概念与视频游戏吉他英雄非常相似。在最初持续 30 分钟到 1 小时的训练课程中,点以不同的速度和不同的位置落下,形成重复的模式,直到参与者能够熟练地在正确的时间按下相应的按钮。实际上,用户的皮质纹状体记忆变得善于随着时间的推移重复特定的模式,例如拨打电话号码或在不看手指的情况下在键盘上键入单词。
大脑训练
研究人员将其称为“序列拦截序列学习”训练,在此期间,一个人不知不觉地学习了特定的击键序列,该序列稍后可用于确认该人的身份。例如,要登录网站,用户每次出现该点模式时都会玩相同的游戏,从而证明自己的身份并允许他访问。
“虽然植入的秘密可以用于身份验证,但参与者无法被强迫透露它,因为他或她没有关于它的有意识的知识,”根据研究人员在 8 月 8 日的演示文稿中的说法,他们在华盛顿州贝尔维尤举行的 USENIX 安全研讨会上进行了演示。(pdf) 斯坦福大学计算机科学博士候选人、主要作者 Hristo Bojinov 表示,目前构想的隐性学习方法可能可以防止有人强迫或欺骗您透露密码。这种强迫可能采取物理或口头威胁的形式,要求您提供密码或其他安全凭据,或者可能是一通看似合法的电话或电子邮件,旨在哄骗您提供此信息。
研究人员表示,他们迄今已在 370 名玩家身上测试了他们的方法,并继续为他们的研究添加新的参与者。该测试目前需要至少 30 分钟的训练才能获得可靠的结果。“训练时间不太可能大幅缩短,因为这种类型的大脑记忆需要时间来训练,”Bojinov 说。“可能会缩短[训练后的]身份验证时间,但还有待观察可以缩短多少。”
玩转系统
这种方法是否实用取决于被防御的系统。例如,雅虎或谷歌不太可能为他们的免费电子邮件服务实施这种安全方法。有人会想每次登录他们的电子邮件时都玩几分钟游戏吗? 然而,卡内基梅隆大学信息网络研究所副主任尼古拉斯·克里斯汀表示,如果用户每天登录一次并且这种方法有望提高安全性,那么拥有核武器的政府机构可以更好地证明使用序列学习方法登录所需的时间投入是合理的。
这种隐性学习方法不一定能有效对抗网络黑客攻击。正如黑客可以侵入存储密码的数据库一样,他们也可能窃取有关用户在训练过程中创建的身份验证模式的信息。“某个地方必须存储身份验证序列才能进行验证,这也可能容易受到攻击,”克里斯汀说。
Bojinov 回应说,他和他的同事正在开发的技术专门针对胁迫问题。“这种机制很可能与其他机制结合使用,”他说,并补充说他和他的同事现在计划为移动设备安全设计类似的游戏,该游戏将使用更广泛的操作(例如旋转或移动设备以及按下键盘上的按钮)来创建模式。
密码持久性
尽管多年来一直有人预测密码最终会被淘汰,转而采用更安全的身份验证方法,但密码仍然存在,因为“到目前为止,它们是安全性和可用性之间更好——或不那么糟糕——的折衷方案之一,”克里斯汀说。“它们实施成本低廉,几乎适用于任何情况,而且每个人都知道并理解它们。”
然而,随着密码数量的增加,安全技术变得越来越无效,因为它们会加剧用户记住所有密码的能力,特别是如果管理大量密码需要用户请求密码重置以替换那些已被遗忘的密码。黑客已经开始依赖密码重置功能来劫持人们的电子邮件和其他在线服务,从而在这个过程中将这些用户锁定在他们自己的帐户之外。《大众科学》描述了这个过程——这是最近针对《连线》记者马特·霍南的网络攻击的核心——在 2008 年由计算机安全顾问赫伯特·汤普森撰写的一篇文章中。
尽管 Bojinov 和他的同事提出的方法要实用还需要做很多工作,但它代表了研究人员解决安全问题方式的一个可喜的转变。克里斯汀说,Bojinov 和他的同事提出的方法颠倒了可用安全技术的问题。“我们可能会看到越来越多的研究在理解如何利用某些人类能力来提高安全性,”他补充道。
加利福尼亚大学圣地亚哥分校计算机科学与工程教授斯特凡·萨维奇认为,从 Bojinov 和他的同事的研究中得出的最重要的一点不是这种特定的机制是否是嵌入秘密的正确机制,“而是研究人员正在探索神经和认知科学作为设计计算机安全接口的手段”。
萨维奇说:“他们找到了一种在您不知情的情况下将一条信息塞入您的大脑,然后再将其取出方法。” “他们把你变成了 DRAM,只是你不知道那里存储了什么。这是杰森·伯恩的故事。”