Perché non dovremmo conoscere le nostre password

Dal momento che 2009, agenti doganali e di protezione delle frontiere degli Stati Uniti è stato permesso di cercare dispositivi elettronici svolta dai cittadini o non cittadini quando attraversano il confine negli Stati Uniti da altri paesi. Più recentemente, il segretario alla sicurezza nazionale John Kelly ha suggerito che anche questo esame digitale dovrebbe includere raccolta di password dei social media. La proposta di Kelly ha spinto esperti legali e tecnologici a rispondere con un lettera aperta esprimendo profonda preoccupazione per qualsiasi politica che richieda che gli individui violino la "prima regola della sicurezza online": non condividere le password. The Conversation

Anche i viaggiatori stessi hanno risposto alla ricerca di modi per evitare di arrendersi alle password dei propri dispositivi agli agenti federali. Un approccio - quello che potremmo chiamare il metodo "Nothing To See Here" - cerca di rendere un dispositivo non ricercabile da cancellazione del disco rigido prima del viaggio, disinstallando le app dei social media, lasciando che la carica della batteria del dispositivo si esaurisca o addirittura cancellando il dispositivo in caso di password di emergenza o "coercizione" è stato inserito

L'approccio "Mi piacerebbe vedere, ma non posso" riguarda soluzioni esotiche come l'installazione dell'autenticazione a due fattori sul dispositivo o l'account dei social media, e quindi il secondo fattore (come un passcode o una chiave digitale) disponibile solo in una posizione remota. Recuperare il secondo fattore richiederebbe un mandato e viaggiare fuori dal valico di frontiera.

Questi metodi sono pericolosi perché mettono un viaggiatore già stressato nella posizione di sfidare le forze dell'ordine al confine, a ambiente legale progettato per supportare il governo e non il viaggiatore. Seguire correttamente questo consiglio richiede anche un'attenta esecuzione delle abilità tecniche che la maggior parte dei viaggiatori non ha. E il grado di pianificazione e preparazione anticipata richiesto potrebbe essere considerato un segno di attività sospette che richiedono un controllo più approfondito da parte dei funzionari di frontiera.

Ma si sta tentando di chiedersi: scienziati informatici e progettisti di software come me possono creare un sistema di password migliore? Possiamo rendere "Mi piacerebbe essere conforme, ma non posso" l'unica risposta possibile per ogni viaggiatore? In breve, possiamo creare password anche se i loro proprietari non lo sanno?


innerself iscriviti alla grafica


La ricerca della password inconoscibile

Lo sviluppo di password non conoscibili è un'area attiva di ricerca sulla sicurezza. In 2012, un team della Stanford University, della Northwestern University e del centro di ricerca SRI ha sviluppato uno schema per l'utilizzo di un gioco per computer simile a "Guitar Hero" a addestrare il cervello subconscio per imparare una serie di sequenze di tasti. Quando un musicista memorizza come suonare un brano musicale, non ha bisogno di pensare a ogni nota o sequenza. Diventa una reazione radicata e addestrata utilizzabile come password ma quasi impossibile anche per il musicista di scrivere note per nota o per l'utente di rivelare lettera per lettera.

Inoltre, il sistema è progettato in modo che anche se la password viene rilevata, l'utente malintenzionato non è in grado di immettere le sequenze di tasti con la stessa fluidità dell'utente addestrato. La combinazione di tasti e facilità di esecuzione lega in modo univoco la password all'utente, liberando l'utente dal dover ricordare qualsiasi cosa consapevolmente.

Sfortunatamente, nel nostro scenario di viaggi frontalieri, l'agente potrebbe richiedere al viaggiatore di sbloccare il dispositivo o l'applicazione utilizzando la password del subconscio.

Un team della California State Polytechnic University, Pomona, ha proposto una soluzione diversa in 2016. La loro soluzione, chiamata Chill-pass, misura l'esclusiva risposta chimica del cervello di un individuo mentre ascolta la sua scelta di musica rilassante. Questa reazione biometrica diventa parte del processo di accesso dell'utente. Se un utente è sotto costrizione, non sarà in grado di rilassarsi abbastanza da corrispondere al suo stato di "chill" precedentemente misurato e il log-in fallirà.

Non è chiaro se gli agenti del CBP sarebbero in grado di sconfiggere un sistema come Chill-Pass offrendo ai viaggiatori, ad esempio, poltrone da massaggio e trattamenti termali. Anche così, lo stress della vita quotidiana renderebbe poco pratico l'uso di questo tipo di password regolarmente. Un sistema basato sul rilassamento sarebbe molto utile per le persone che intraprendono missioni ad alto rischio in cui temono la coercizione.

E proprio come con altri piani per rendere impossibile l'esame del CBP, questo potrebbe finire per attirare più attenzione su un viaggiatore, piuttosto che incoraggiare gli agenti a rinunciare e passare alla prossima persona.

Puoi guadagnare punti sicurezza?

In 2015, Google ha annunciato Progetto Abaco, un'altra soluzione al problema "Vorrei tanto risponderti, ma non posso". Sostituisce la password tradizionale con un "Punteggio di fiducia", un cocktail proprietario di caratteristiche che Google ha determinato in grado di identificarti. Il punteggio include fattori biometrici come i modelli di battitura, la velocità di deambulazione, i pattern vocali e le espressioni facciali. E può includere la tua posizione e altri elementi non specificati.

Il calcolatore del Punteggio di fiducia viene eseguito costantemente sullo sfondo di uno smartphone o altro dispositivo, si aggiorna con nuove informazioni e ricalcola il punteggio nel corso della giornata. Se il punteggio di affidabilità scende al di sotto di una certa soglia, ad esempio osservando uno strano modello di digitazione o una posizione sconosciuta, il sistema richiederà all'utente di immettere ulteriori credenziali di autenticazione.

Non è chiaro in che modo l'autenticazione del Punteggio di fiducia potrebbe influire sulla ricerca di un bordo. Un agente CBP potrebbe comunque chiedere a un viaggiatore di sbloccare il dispositivo e le sue app. Ma se l'agenzia non fosse in grado di disabilitare il sistema del Punteggio di fiducia, al proprietario del telefono dovrebbe essere consentito di tenere il dispositivo e utilizzarlo durante l'ispezione dell'agente. Se qualcun altro ha provato a usarlo, il Trust Score costantemente ricalcolato potrebbe cadere, bloccando un investigatore.

Quel processo avrebbe almeno garantito che il proprietario del telefono sapesse quali informazioni gli agenti federali stavano raccogliendo dal telefono. Ciò non è stato possibile per alcuni viaggiatori in arrivo, tra cui Cittadini statunitensi e persino impiegati governativi.

Ma il sistema del Trust Score mette un sacco di controllo nelle mani di Google, una società a scopo di lucro che potrebbe decidere - o potrebbe essere costretto - fornire al governo un modo per aggirarlo.

Quindi adesso?

Nessuna di queste soluzioni tecnologiche al problema della password è perfetta e nessuna di queste è disponibile in commercio oggi. Finché la ricerca, l'industria e l'innovazione non ne escono di migliori, cosa fa un viaggiatore dell'era digitale?

Primo, non mentire a un agente federale. È un crimine e attirerà sicuramente più attenzioni indesiderate dagli investigatori.

Quindi, determinare il disagio che si è disposti a tollerare per rimanere in silenzio o rifiutare di conformarsi. La non conformità avrà un costo: i tuoi dispositivi potrebbero essere sequestrati e il tuo viaggio potrebbe essere seriamente interrotto.

In ogni caso, se e quando ti vengono chieste le maniglie o le password dei tuoi social media o per sbloccare i tuoi dispositivi, fai attenzione e ricorda quanti più dettagli puoi. Quindi, se lo desideri, avvisa un gruppo digitale delle libertà civili che è successo. La Electronic Frontier Foundation ha una pagina web con le istruzioni per come segnalare una ricerca di dispositivi al confine.

Se pensi che i materiali sensibili potrebbero essere stati compromessi nella ricerca, informa la famiglia, gli amici e i colleghi che potrebbero essere interessati. E - finché non scopriremo un modo migliore - cambia le tue password.

Circa l'autore

Megan Squire, professore di scienze informatiche, Università di Elon

Questo articolo è stato pubblicato in origine The Conversation. Leggi il articolo originale.

libri correlati

at InnerSelf Market e Amazon