Представьте комбинацию из 30 случайных символов, которые вы набираете автоматически, но не способны вспомнить. Это биометрическая авторизация на уровне мозга: отпечаток внедряют вам в подсознание, а система потом может проверить его присутствие.
Исследователь Христо Божинов (Hristo Bojinov) из Стэнфордского университета с коллегами разработали уникальную методику запоминания паролей на моторном уровне, так что в результате пользователь способен не глядя набрать пароль на клавиатуре.
Тренинг происходит в игровой форме. Пользователь должен перехватывать падающие объекты, нажимая кнопки. Каждый объект появляется в одном из шести мест, что соответствует шести клавишам на клавиатуре: S, D, F, J, K, L.
Естественно, объекты на экране появляются не в случайном порядке. Внутри игры скрыта последовательность из 30-ти символов, которые повторяются более ста раз за 30-45 минут игры. Сам игрок может даже этого не знать, но после окончания игровой сессии в его подсознание внедрена определённая комбинация.
Христо Божинов провёл эксперимент и убедился, что пользователи надёжно воспроизводят внедрённую в подсознание комбинацию клавиш даже через две недели после игры. По мнению учёного, этот метод можно использовать в системах компьютерной безопасности. Пользователям можно присваивать определённую комбинацию символов, а потом юзер может доказать, что знает эту комбинацию, если ещё раз поиграет в игру.
Что ещё интереснее, подобные комбинации устойчивы к взлому. Даже если злоумышленник сделает свою игру и будет использовать пользователей для брутфорса, он всё равно не сможет восстановить исходную комбинацию символов. По оценке Божинова, наблюдение за сотней пользователей (знающих один пароль) в течение года даёт всего лишь 1 из 60000 вероятность подбора правильной последовательности. Каждый пароль обладает энтропией 38 бит.
С точки зрения компьютерной безопасности, такая система устраняет несколько самых слабых звеньев, которые могут служить источником утечки паролей. В частности, сам пользователь не имеет возможности выдать пароль, поскольку он просто не знает его, и компьютер пользователя тоже в безопасности, потому что пароль не хранится на нём в цифровом виде. Из подсознания пользователя, как уже было доказано, пароль тоже невозможно извлечь, даже если заставить его всю жизнь играть в эту игру. Единственное слабое звено — сервер, система аутентификации, которая должна проверять личность пользователя и знает требуемую комбинацию символов. Потенциальные злоумышленники могут изъять пароль только оттуда.
По мнению авторов научной работы, лучше всего применять эту методику в системах безопасности высшего уровня, где сервер не подключён к интернету. Например, доступ к управлению атомной станцией или доступ на военную базу с ядерным оружием. В этом случае можно гарантировать максимальную надёжность системы.
В случае применения на физических объектах не совсем понятно, чем этот метод лучше, чем биометрические системы, такие как сканирование радужной оболочки глаза. На эти и другие вопросы Христо Божинов ответит лично 8 августа, когда будет выступать со своим докладом на симпозиуме USENIX Security в Белвью, шт. Вашингтон. Его научная работа уже опубликована в открытом доступе (PDF).