Internetbeveiliging: waarom uw interne gedachten uw volgende wachtwoord kunnen worden

Je brein is een onuitputtelijke bron van veilige wachtwoorden - maar je hoeft je misschien niets te herinneren. Wachtwoorden en pincodes met letters en cijfers zijn relatief eenvoudig te hacken, moeilijk te onthouden en meestal onveilig. Biometrie begint hun plaats in te nemen, waarbij vingerafdrukken, gezichtsherkenning en netvlies-scannen gebruikelijk worden, zelfs bij routinematige aanmeldingen voor computers, smartphones en andere veelvoorkomende apparaten.

Ze zijn veiliger omdat ze moeilijker te vervalsen zijn, maar biometrische gegevens hebben een cruciale kwetsbaarheid: een persoon heeft slechts één gezicht, twee netvliezen en 10 vingerafdrukken. Ze vertegenwoordigen wachtwoorden die niet opnieuw kunnen worden ingesteld als ze zijn aangetast.

Net als gebruikersnamen en wachtwoorden zijn biometrische referenties kwetsbaar voor datalekken. In 2015 werd bijvoorbeeld de database met de vingerafdrukken van 5,6 miljoen federale Amerikaanse werknemers overtreden. Die mensen zouden hun vingerafdrukken niet moeten gebruiken om apparaten te beveiligen, zowel voor persoonlijk gebruik als op het werk. De volgende breuk kan foto's of netvliesscangegevens stelen, waardoor die biometrie nutteloos is voor de veiligheid.

Ons team werkt al jaren samen met medewerkers van andere instellingen en heeft een nieuw type biometrie uitgevonden dat zowel uniek is aan één persoon en kan worden gereset als dat nodig is.

Inside the Mind

Wanneer een persoon naar een foto kijkt of een muziekstuk hoort, reageert haar brein op manieren die onderzoekers of medische professionals kunnen meten met elektrische sensoren op haar hoofdhuid. We hebben ontdekt dat de hersenen van elke persoon anders reageren op een externe stimulus, dus zelfs als twee mensen naar dezelfde foto kijken, zullen de metingen van hun hersenactiviteit anders zijn.

Dit proces is automatisch en bewusteloos, dus een persoon kan niet bepalen welke hersenreactie plaatsvindt. En elke keer dat een persoon een foto van een bepaalde beroemdheid ziet, reageert hun brein op dezelfde manier - hoewel anders dan alle anderen.

We realiseerden ons dat dit een kans biedt voor een unieke combinatie die kan dienen als wat we een 'hersengatwoord' noemen. Het is niet alleen een fysieke eigenschap van hun lichaam, zoals een vingerafdruk of het patroon van bloedvaten in hun netvlies. In plaats daarvan is het een mix van de unieke biologische hersenstructuur van de persoon en zijn onwillekeurig geheugen dat bepaalt hoe het reageert op een bepaalde stimulus.

Een hersengang maken

Iemands hersenwachtwoord is een digitale lezing van hun hersenactiviteit terwijl er naar een reeks afbeeldingen wordt gekeken. Net zoals wachtwoorden veiliger zijn als ze verschillende soorten tekens bevatten, zoals letters, cijfers en interpunctie, is een hersenwachtwoord veiliger als het betrekking heeft op hersengolfaflezingen van een persoon die naar een verzameling verschillende soorten afbeeldingen kijkt.

Om het wachtwoord in te stellen, zou de persoon op een andere manier worden geauthenticeerd - bijvoorbeeld om met een paspoort of ander identificerend papierwerk aan het werk te gaan, of om vingerafdrukken of gezicht te laten vergelijken met bestaande documenten. Dan zou de persoon een zachte, comfortabele muts of opgevulde helm aantrekken met binnenin elektrische sensoren. Een monitor zou bijvoorbeeld een foto van een varken, het gezicht van Denzel Washington en de tekst weergeven Noem me Ismaël, de openingszin van de klassieker van Herman Melville, Moby-Dick.

De sensoren registreerden de hersengolven van de persoon. Net als bij het registreren van een vingerafdruk voor de Touch ID van een iPhone, zijn meerdere metingen nodig om een ​​volledig eerste record te verzamelen. Ons onderzoek heeft bevestigd dat een combinatie van deze beelden hersengolfaflezingen zou oproepen die uniek zijn voor een bepaalde persoon en consistent van de ene inlogpoging tot de andere.

Later, om in te loggen of toegang te krijgen tot een gebouw of beveiligde ruimte, zou de persoon de hoed op doen en de reeks afbeeldingen bekijken. Een computersysteem zou hun hersengolven op dat moment vergelijken met wat oorspronkelijk was opgeslagen - en ofwel toegang verlenen of ontkennen, afhankelijk van de resultaten. Het duurt ongeveer vijf seconden, niet veel langer dan een wachtwoord invoeren of een pincode intoetsen op een numeriek klavier.

Na een hack

Het echte voordeel van Brain-wachtwoorden komt in beeld na de bijna onvermijdelijke hack van een inlogdatabase. Als een hacker inbreekt in het systeem dat de biometrische sjablonen opslaat of elektronica gebruikt om iemands hersensignalen te vervalsen, is die informatie niet langer nuttig voor de beveiliging. Een persoon kan zijn gezicht of vingerafdrukken niet veranderen - maar ze kunnen hun hersenwachtwoord veranderen.

Het is eenvoudig genoeg om de identiteit van een persoon op een andere manier te verifiëren en ze een nieuw wachtwoord te laten instellen door naar drie nieuwe afbeeldingen te kijken - misschien deze keer met een foto van een hond, een tekening van George Washington en een Gandhi-quote. Omdat het andere afbeeldingen zijn dan het oorspronkelijke wachtwoord, zouden de hersengolfpatronen ook anders zijn. Ons onderzoek heeft aangetoond dat het nieuwe hersenwachtwoord erg moeilijk zou zijn voor aanvallers om erachter te komen, zelfs als ze de oude hersengolfaflezingen als hulpmiddel probeerden te gebruiken.

Hersenenwachtwoorden kunnen eindeloos opnieuw worden ingesteld, omdat er zoveel mogelijk foto's en een uitgebreide reeks combinaties zijn die van die afbeeldingen kunnen worden gemaakt. Er is geen enkele manier om deze biometrisch verbeterde beveiligingsmaatregelen te omzeilen.

Veilig - en veilig

Als onderzoekers zijn we ons ervan bewust dat het verontrustend of zelfs griezelig kan zijn voor een werkgever of internetdienst om authenticatie te gebruiken die de hersenactiviteit van mensen leest. Een deel van ons onderzoek bestond uit het uitzoeken hoe we slechts de minimale hoeveelheid metingen konden nemen om betrouwbare resultaten te garanderen - en de juiste beveiliging - zonder dat er zoveel metingen nodig waren dat een persoon zich misschien geschonden of bezorgd voelde dat een computer probeerde zijn gedachten te lezen.

We probeerden in eerste instantie 32 sensoren in het hele hoofd van een persoon te gebruiken en merkten dat de resultaten betrouwbaar waren. Vervolgens hebben we het aantal sensoren geleidelijk verlaagd om te zien hoeveel er echt nodig waren - en we ontdekten dat we met slechts drie correct geplaatste sensoren duidelijke en veilige resultaten konden krijgen.

Dit betekent dat ons sensorapparaat zo klein is dat het onzichtbaar in een hoed of een virtual reality-headset past. Dat opent de deur voor veel mogelijk gebruik. Een persoon die slimme hoofddeksels draagt, kan bijvoorbeeld gemakkelijk deuren of computers met hersenwachtwoorden ontgrendelen. Onze methode zou het ook moeilijker kunnen maken om auto's te stelen - voordat de bestuurder opstart, zou hij een hoed moeten opzetten en een paar afbeeldingen op een dashboardscherm moeten bekijken.

Andere wegen openen zich naarmate nieuwe technologieën naar voren komen. De Chinese e-commerce gigant Alibaba onthulde onlangs een systeem voor het gebruiken van virtual reality om items te kopen - inclusief het online kopen van aankopen in de VR-omgeving. Als de betalingsinformatie wordt opgeslagen in de VR-headset, kan iedereen die deze gebruikt of steelt, alles kopen wat beschikbaar is. Een headset die de hersengolven van de gebruiker leest, maakt aankopen, aanmeldingen of fysieke toegang tot gevoelige gebieden veel veiliger.

Dit artikel is oorspronkelijk gepubliceerd op The Conversation van Wenyao Xu, Feng Lin en Zhanpeng Jin. Lees hier het originele artikel.