Kenapa Kita Tidak Perlu Tahu Kata Laluan Sendiri

Kenapa Kita Tidak Perlu Tahu Kata Laluan Sendiri

Sejak 2009, agen Kastam dan Perlindungan Sempadan AS telah dibenarkan untuk mencari peranti elektronik dibawa oleh warganegara atau bukan warga negara ketika mereka melintasi sempadan ke Amerika Syarikat dari negara lain. Baru-baru ini, Setiausaha Keselamatan Dalam Negeri John Kelly mencadangkan pemeriksaan digital ini juga perlu disertakan menuai kata laluan media sosial. Cadangan Kelly mendorong ahli undang-undang dan teknologi untuk bertindak balas dengan surat terbuka menyatakan keprihatinan yang mendalam tentang setiap kebijakan yang menuntut individu melanggar "aturan keamanan online" pertama: Jangan kongsi kata laluan anda. Perbualan

Pelancong sendiri bertindak balas juga, mencari cara untuk mengelakkan menyerah kata laluan peranti mereka kepada ejen persekutuan. Satu pendekatan - apa yang mungkin kita panggil kaedah "Tiada Lagi Untuk Lihat Di Sini" - cuba untuk membuat peranti tidak dapat ditemui oleh memadamkan cakera keras sebelum perjalanan, menyahpasang aplikasi media sosial, membiarkan caj bateri peranti habis atau bahkan menyapu peranti jika ada kata laluan kecemasan atau "duress" telah dimasukkan.

Pendekatan "Saya Tahu Mematuhi, Tapi Saya Tidak Boleh" melibatkan penyelesaian eksotik seperti memasang pengesahan dua faktor pada peranti atau akaun media sosial, dan kemudian membuat faktor kedua (seperti kod laluan atau kunci digital) hanya tersedia di lokasi terpencil. Mendapatkan semula faktor kedua memerlukan waran dan perjalanan di luar sempadan sempadan.

Kaedah-kaedah ini adalah berbahaya kerana mereka meletakkan pengembara yang sudah ditekankan dalam kedudukan menentang penguatkuasaan undang-undang di sempadan, a persekitaran undang-undang yang direka untuk menyokong kerajaan dan bukan pengembara. Berikutan nasihat ini dengan betul juga memerlukan pelaksanaan ketepatan teknikal yang paling tidak dapat dilakukan oleh pelancong. Dan tahap perancangan awal dan penyediaan yang diperlukan mungkin dianggap sebagai tanda kegiatan yang mencurigakan yang memerlukan pengawasan yang lebih mendalam oleh pegawai perbatasan.

Tetapi ia menggoda untuk bertanya-tanya: Bolehkah saintis komputer dan pereka perisian seperti saya mencipta sistem kata laluan yang lebih baik? Bolehkah kita membuat "Saya Suka Mematuhi, Tetapi Saya Tidak Boleh" satu-satunya jawapan untuk setiap pengembara? Pendek kata, bolehkah kita membuat kata laluan walaupun pemiliknya tidak tahu?

Mencari kata laluan yang tidak diketahui

Membangunkan kata laluan yang tidak diketahui adalah kawasan penyelidikan keselamatan yang aktif. Di 2012, satu pasukan dari Universiti Stanford, Northwestern University dan pusat penyelidikan SRI telah membangunkan skim untuk menggunakan permainan komputer yang serupa dengan "Guitar Hero" untuk melatih otak bawah sedar untuk mempelajari beberapa ketukan kekunci. Apabila seorang pemuzik menghafal cara memainkan sekeping muzik, dia tidak perlu memikirkan setiap nota atau urutan. Ia menjadi tindak balas yang terlatih, terlatih yang boleh digunakan sebagai kata laluan tetapi hampir mustahil walaupun untuk pemuzik untuk menguraikan nota oleh nota, atau bagi pengguna untuk mendedahkan surat melalui surat.

Di samping itu, sistem ini direka supaya walaupun kata laluan ditemui, penyerang tidak dapat memasukkan ketukan kekunci dengan ketidakstabilan yang sama seperti pengguna terlatih. Gabungan ketukan kekunci dan kemudahan prestasi unik mengikat kata laluan kepada pengguna, sambil membebaskan pengguna daripada perlu mengingat apa-apa secara sedar.

Malangnya, dalam senario perjalanan sempadan kami, ejen boleh menuntut bahawa pengembara membuka kunci peranti atau aplikasi menggunakan kata laluan bawah sedar.

Satu pasukan di Universiti Politeknik Negeri California, Pomona, mencadangkan penyelesaian yang berbeza dalam 2016. Penyelesaiannya, dipanggil Chill-Pass, mengukur tindak balas kimia otak unik individu sambil mendengar pilihan muzik santainya. Reaksi biometrik ini menjadi sebahagian daripada proses log masuk pengguna. Sekiranya pengguna berada di bawah tekanan, dia tidak akan dapat berehat dengan cukup untuk menyesuaikan keadaan "dingin" yang diukur sebelum ini dan log masuk akan gagal.

Tidak jelas sama ada ejen CBP akan dapat mengalahkan sistem seperti Chill-Pass dengan menyediakan pengembara, berkata, kerusi urut dan rawatan spa. Walau bagaimanapun, tekanan kehidupan seharian akan menjadikannya tidak praktikal untuk menggunakan kata laluan jenis ini dengan kerap. Sistem berasaskan kelonggaran akan sangat berguna bagi orang yang menjalankan misi yang tinggi di mana mereka takut akan paksaan.

Dan sama seperti rancangan lain untuk membuat pemerhatian CBP mustahil, ini mungkin akan menarik lebih banyak perhatian kepada pengembara, bukannya menggalakkan pegawai untuk berputus asa dan beralih kepada orang seterusnya.

Bolehkah anda menjaringkan keselamatan?

Di 2015, Google mengumumkan Projek Abacus, satu lagi penyelesaian untuk "Saya Suka Mematuhi, Tetapi Saya Tidak Boleh" masalah. Ia menggantikan kata laluan tradisional dengan "Markah Amanah," ciri koktail proprietari yang ditentukan oleh Google dapat mengenal pasti anda. Skor ini termasuk faktor biometrik seperti corak menaip, kelajuan berjalan, corak suara dan ungkapan wajah. Dan ia boleh memasukkan lokasi anda dan elemen lain yang tidak ditentukan.

Kalkulator Markah Amanah sentiasa berjalan di latar belakang telefon pintar atau peranti lain, mengemas kini dirinya dengan maklumat baru dan mengukur semula skor sepanjang hari. Jika Skor Amanah berada di bawah ambang tertentu, katakan dengan memerhatikan corak menaip yang aneh atau lokasi yang tidak dikenali, sistem akan memerlukan pengguna untuk memasukkan bukti kelayakan pengesahan tambahan.

Tidak jelas bagaimana pengesahan Markah Amanah dapat mempengaruhi carian sempadan. Agen CBP masih boleh menuntut bahawa seorang pengembara membuka kunci peranti dan aplikasinya. Tetapi jika agensi tidak dapat mematikan sistem Markah Amanah, pemilik telefon harus dibenarkan memegang peranti tersebut dan menggunakannya sepanjang pemeriksaan agen. Sekiranya orang lain cuba menggunakannya, Skor Amanah yang sentiasa dikira semula boleh jatuh, mengunci penyiasat.

Proses itu sekurang-kurangnya memastikan pemilik telefon tahu apa maklumat ejen persekutuan mengumpul dari telefon. Itu tidak mungkin untuk beberapa pelancong yang tiba, termasuk Warganegara AS dan pekerja kerajaan.

Tetapi sistem Markah Amanah meletakkan banyak kawalan di tangan Google, sebuah perbadanan untuk keuntungan yang boleh memutuskan - atau boleh dipaksa - untuk menyediakan kerajaan dengan cara di sekelilingnya.

Jadi sekarang apa?

Tidak ada penyelesaian teknologi untuk masalah kata laluan yang sempurna, dan tiada satu pun dari mereka yang tersedia secara komersial hari ini. Sehingga penyelidikan, industri dan inovasi datang dengan yang lebih baik, apakah pengembara umur digital yang perlu dilakukan?

Pertama, jangan berbohong kepada ejen persekutuan. Itulah a kejahatan dan pasti akan menarik lebih banyak perhatian yang tidak diingini daripada penyiasat.

Seterusnya, tentukan berapa kesulitan yang anda sanggup bertolak ansur agar tetap diam atau menolak untuk mematuhi. Ketidakpatuhan akan mempunyai kos: Peranti anda boleh dirampas dan perjalanan anda boleh diganggu dengan serius.

Sama ada cara, jika dan apabila anda diminta untuk mengendalikan media sosial atau kata laluan anda, atau membuka kunci peranti anda, perhatikan dan ingat seberapa banyak butiran yang anda boleh. Kemudian, jika anda mahu, isikan kumpulan kebebasan sivil digital bahawa ini berlaku. Yayasan Frontier Elektronik mempunyai halaman web dengan arahan untuk cara melaporkan carian peranti di sempadan.

Sekiranya anda berfikir bahawa bahan sensitif mungkin telah dikompromi dalam carian, memberitahu keluarga, rakan dan rakan sekerja yang mungkin terjejas. Dan - sehingga kita memikirkan cara yang lebih baik - menukar kata laluan anda.

Tentang Pengarang

Megan Squire, Profesor Sains Pengkomputeran, Elon University

Artikel ini pada asalnya diterbitkan pada Perbualan. Membaca artikel asal.

Buku-buku yang berkaitan

{amazonWS: searchindex = Books; keywords = privacy computer; maxresults = 3}

enafarzh-CNzh-TWnltlfifrdehiiditjakomsnofaptruessvtrvi

ikuti InnerSelf pada

icon-facebooktwitter-iconrss-icon

Dapatkan Yang Terbaru Dengan E-mel

{Emailcloak = mati}