Waarom we onze eigen wachtwoorden niet kennen

Sinds 2009, Amerikaanse douane- en grensbeschermingsagenten mogen elektronische apparaten doorzoeken gedragen door burgers of niet-burgers die de grens met andere landen oversteken naar de Verenigde Staten. Meer recentelijk heeft Homeland Security Secretary John Kelly gesuggereerd dat deze digitale screening ook zou moeten omvatten het oogsten van sociale media wachtwoorden. Het voorstel van Kelly bracht juridische en technologische experts ertoe om te reageren met een open brief uiting geven aan diepe bezorgdheid over elk beleid dat vereist dat personen de "eerste regel van online veiligheid" overtreden: deel uw wachtwoorden niet. The Conversation

Reizigers reageerden zelf ook op zoek naar manieren om te voorkomen dat hun apparaatwachtwoorden worden ingeleverd aan federale agenten. Eén benadering - wat we de "Nothing To See Here" -methode zouden kunnen noemen - probeert een apparaat ondoorzoekbaar te maken door wissen van de harde schijf voor vertrek, het deïnstalleren van sociale media-apps, de batterij van het apparaat laten leeglopen of zelfs het apparaat wissen als een nood- of "dwang" wachtwoord was ingevoerd.

De "Ik hou van toe te passen, maar ik kan niet" -benadering houdt exotische oplossingen in, zoals het installeren van tweefactorauthenticatie op het apparaat of de sociale media-account, en vervolgens het maken van de tweede factor (zoals een toegangscode of digitale sleutel) alleen beschikbaar op een externe locatie. Het ophalen van de tweede factor zou een bevelschrift vereisen en reizen buiten de grensovergang.

Deze methoden zijn gevaarlijk omdat ze een al gestresste reiziger in de positie brengen van het tarten van wetshandhaving aan de grens, a wettelijke omgeving die is ontworpen om de overheid te ondersteunen en niet de reiziger. Het opvolgen van dit advies vereist ook een zorgvuldige uitvoering van technische vaardigheden die de meeste reizigers niet hebben. En de vereiste mate van voorafgaande planning en voorbereiding kan zelf worden beschouwd als een teken van verdachte activiteit die diepgaander onderzoek door grensfunctionarissen vereist.

Maar het is verleidelijk om je af te vragen: kunnen computerwetenschappers en softwareontwerpers zoals ik een beter wachtwoordsysteem maken? Kunnen we "het enige dat geschikt is voor elke reiziger" maken, "I'd Love Love Comply, But I Can not"? Kortom, kunnen we wachtwoorden maken, zelfs hun eigenaren weten het niet?


innerlijk abonneren grafisch


De zoektocht naar het onkenbare wachtwoord

Het ontwikkelen van onkenbare wachtwoorden is een actief gebied van veiligheidsonderzoek. In 2012 ontwikkelden een team van Stanford University, Northwestern University en het SRI onderzoekscentrum een ​​schema voor het gebruik van een computerspel vergelijkbaar met "Guitar Hero" om train het onderbewuste brein om een ​​reeks toetsaanslagen te leren. Wanneer een muzikant een muziekstuk memoriseert, hoeft hij niet na te denken over elke noot of reeks. Het wordt een ingesleten, getrainde reactie die bruikbaar is als wachtwoord, maar bijna onmogelijk, zelfs voor de muzikant om noot voor noot te spellen, of voor de gebruiker om letter voor letter te onthullen.

Bovendien is het systeem zo ontworpen dat zelfs als het wachtwoord wordt ontdekt, de aanvaller niet in staat is om de toetsaanslagen in te voeren met dezelfde vloeiendheid als de getrainde gebruiker. De combinatie van toetsaanslagen en het eenvoudige bedieningsgemak verbindt het wachtwoord op unieke wijze met de gebruiker, terwijl het de gebruiker er van weerhoudt om iets bewust te onthouden.

Helaas kan de agent in ons scenario voor grensreizen eisen dat de reiziger het apparaat of de applicatie ontgrendelt met behulp van het onbewuste wachtwoord.

Een team van de California State Polytechnic University in Pomona stelde een andere oplossing voor in 2016. Hun oplossing, genaamd Chill-Pass, meet de unieke respons van een hersenchemie bij het luisteren naar haar keuze van ontspannende muziek. Deze biometrische reactie wordt onderdeel van het aanmeldingsproces van de gebruiker. Als een gebruiker onder dwang is, zal ze niet voldoende kunnen ontspannen om haar eerder gemeten "chill" -status te evenaren, en zal het inloggen mislukken.

Het is onduidelijk of CBP-agenten in staat zouden zijn om een ​​systeem zoals Chill-Pass te verslaan door reizigers te voorzien van massage stoelen en spa-behandelingen. Toch zou de stress van het dagelijks leven het onpraktisch maken om dit soort wachtwoord regelmatig te gebruiken. Een op ontspanning gebaseerd systeem zou vooral nuttig zijn voor mensen die missies van hoge inzetten uitvoeren waar ze bang zijn voor dwang.

En net als bij andere plannen om CBP-controle onmogelijk te maken, zou dit uiteindelijk meer aandacht kunnen trekken voor een reiziger, dan om officieren aan te moedigen op te geven en door te gaan naar de volgende persoon.

Kun je veiligheid scoren?

In 2015 heeft Google aangekondigd Project Abacus, een andere oplossing voor het probleem "Ik zou het graag willen, maar kan niet". Het vervangt het traditionele wachtwoord door een 'Trust Score', een gepatenteerde cocktail van kenmerken waarvan Google heeft vastgesteld dat deze u kan identificeren. De score omvat biometrische factoren zoals uw typepatronen, loopsnelheid, stempatronen en gezichtsuitdrukkingen. En het kan uw locatie en andere niet-gespecificeerde elementen omvatten.

De Trust Score-calculator draait constant op de achtergrond van een smartphone of ander apparaat, werkt zichzelf bij met nieuwe informatie en herberekent de score gedurende de dag. Als de Trustscore onder een bepaalde drempel daalt, bijvoorbeeld door een vreemd typepatroon of een onbekende locatie te observeren, vereist het systeem dat de gebruiker aanvullende authenticatiereferenties invoert.

Het is onduidelijk hoe een verificatie van de vertrouwensscore een grensdoorzoeking kan beïnvloeden. Een CBP-agent kan nog steeds eisen dat een reiziger het apparaat en de bijbehorende apps ontgrendelt. Maar als het bureau het Trust Score-systeem niet zou kunnen uitschakelen, zou de eigenaar van de telefoon het apparaat moeten kunnen vasthouden en gebruiken tijdens de inspectie van de agent. Als iemand anders het probeerde te gebruiken, zou de voortdurend opnieuw berekende Trust Score kunnen vallen en een onderzoeker uitsluiten.

Dat proces zorgde er in ieder geval voor dat de eigenaar van een telefoon wist welke informatie federale agenten van de telefoon verzamelden. Dat was niet mogelijk voor sommige aankomende reizigers, inclusief Amerikaanse burgers en zelfs overheidsmedewerkers.

Maar het Trust Score-systeem legt veel controle in handen van Google, een organisatie met winstoogmerk die zou kunnen beslissen - of kan worden gedwongen - om de overheid een manier te bieden omheen.

Wat nu?

Geen van deze technologische oplossingen voor het wachtwoordprobleem is perfect en geen ervan is tegenwoordig commercieel verkrijgbaar. Totdat onderzoek, industrie en innovatie betere bedoelingen bedenken, wat moet een digitale leeftijdreiziger doen?

Ten eerste, lieg niet tegen een federale agent. Dat is een zware misdaad en zal zeker meer ongewenste aandacht trekken van onderzoekers.

Bepaal vervolgens hoeveel ongemak u bereid bent te tolereren om te zwijgen of te weigeren hieraan te voldoen. Niet-naleving brengt kosten met zich mee: uw apparaten kunnen in beslag worden genomen en uw reis kan ernstig worden verstoord.

Hoe dan ook, als en wanneer je wordt gevraagd naar je sociale media-omgang of wachtwoord, of om je apparaten te ontgrendelen, let dan op en onthoud zo veel mogelijk details. Sta vervolgens, als u dat wilt, een digitale burgerlijke vrijheidsgroepering op de hoogte dat dit is gebeurd. De Electronic Frontier Foundation heeft een webpagina met instructies voor hoe u een apparaatzoekopdracht bij de grens kunt melden.

Als u denkt dat gevoelige materialen mogelijk zijn aangetast tijdens het zoeken, meldt dit aan familie, vrienden en collega's die mogelijk zijn getroffen. En - totdat we een betere manier bedenken - verander uw wachtwoorden.

Over de auteur

Megan Squire, hoogleraar computerwetenschappen, Elon University

Dit artikel is oorspronkelijk gepubliceerd op The Conversation. Lees de originele artikel.

Verwante Boeken

at InnerSelf Market en Amazon