Com informações da New Scientist - 25/07/2012
As pessoas não conseguem recitar as sequências aprendidas desta forma, embora consigam usar a senha normalmente. [Imagem: Bojinov et al.]
Saber sem lembrar
Mesmo os mais sofisticados sistemas de segurança eletrônica podem ser desmontados forçando alguém a revelar uma senha.
Mas que tal se as informações sensíveis pudessem ser armazenadas em seu cérebro de tal forma que você não pudesse acessá-las conscientemente, não importando o quanto você tentasse?
Essa é a promessa de uma nova técnica que combina a criptografia com a neurociência.
Nos testes iniciais, os voluntários aprenderam uma senha, e a utilizaram posteriormente para passar por um teste, mas não conseguiram lembrar e verbalizar a senha quando isso lhes foi solicitado.
Aprendizado implícito
O sistema é baseado na aprendizagem implícita, um processo pelo qual é possível aprender um padrão inconscientemente.
Hristo Bojinov, da Universidade de Stanford, nos Estados Unidos, projetou um jogo no qual os jogadores interceptam a queda de objetos pressionando uma tecla. Os objetos aparecem em uma de seis posições, cada uma correspondendo a uma chave diferente.
Sem que os jogadores o saibam, as posições dos objetos não são sempre aleatórias.
Dentro do jogo está escondida uma sequência de 30 posições sucessivas, que é repetida mais de 100 vezes durante os 30 a 45 minutos que dura o jogo.
Os jogadores cometem menos erros quando se deparam com esta sequência de rodadas sucessivas, e esse aprendizado persistiu quando os jogadores foram testados novamente, duas semanas depois.
Isso mostra que o jogo pode formar a base de um sistema de geração de senhas por aprendizagem implícita: cada usuário aprenderia uma sequência exclusiva em uma sessão inicial, sem conhecer conscientemente essa sequência.
E, o que é crucial para a segurança, estudos anteriores já demonstraram que as pessoas não conseguem recitar as sequências aprendidas desta forma.
Tortura criptográfica
Um invasor pode tentar descobrir a sequência forçando o titular da senha a jogar um jogo similar, e esperando para ver quando ele comete menos erros.
Contudo, como a sequência é composta por 30 teclas pressionadas em seis posições diferentes, as chances de remontar a sequência autêntica são muito baixas.
Os pesquisadores estimam que 100 usuários, jogando sem parar durante um ano, teriam menos de 1 em 60.000 chances de extrair a sequência verdadeira.
Fragilidades e aplicações
Por outro lado, o sistema compartilha a fragilidade de outros sistemas de segurança, que podem ser quebrados invadindo não o sistema de geração de senhas, mas o sistema utilizado para autenticar os usuários.
Por isto, Bojinov afirma que é mais provável que sua criptografia neurocientífica encontre aplicações em cenários de alto risco, quando o detentor da senha precisa de estar fisicamente presente, como para obter acesso a instalações críticas, como usinas nucleares.
Bibliografia:
Neuroscience Meets Cryptography: Designing Crypto Primitives Secure Against Rubber Hose Attacks
Hristo Bojinov, Daniel Sanchez, Paul Reber, Dan Boneh, Patrick Lincoln
USENIX Security Symposium Proceedings
http://bojinov.org/professional/usenixsec2012-rubberhose.pdf
Neuroscience Meets Cryptography: Designing Crypto Primitives Secure Against Rubber Hose Attacks
Hristo Bojinov, Daniel Sanchez, Paul Reber, Dan Boneh, Patrick Lincoln
USENIX Security Symposium Proceedings
http://bojinov.org/professional/usenixsec2012-rubberhose.pdf
Nenhum comentário:
Postar um comentário