Dabar populiaru
Publikuota: 2012 rugpjūčio 12d. 09:27

Prisiminti, bet nežinoti: idealaus slaptažodžio link

Kompiuteris su spyna
123rf.com nuotr. / Kompiuteris su spyna

Informacinių sistemų (ir ne tik jų) apsaugos teorijoje yra sena, bet puiki taisyklė: apsaugos sistemos saugumas priklauso nuo silpniausio jos elemento.

Nereikia jokių įrodymų, kad ši taisyklė – teisinga. Pavyzdžiui, banke galima įdiegti ypač brangias spynas, visus darbuotojus identifikuoti pagal akies rainelę arba pirštų atspaudus (ar net pagal unikalų širdies ritmą, kaip siūlo kai kurie mokslininkai), papildomai priversti įsiminti nesąmoningus slaptažodžius, kuriuos sudaro kelios dešimtys skaičių, tačiau kol darbuotojai visus slaptažodžius saugos ant kompiuterių monitorių užklijuotų popieriukų, nieko apsaugoti nepavyks.

Kam reikėjo šios beletristikos? Ogi tam, kad primintume, jog pati silpniausia grandis yra žmogus. Galime jį vadinti vartotoju arba tiesiog tarpine grandimi tarp kėdės ir klaviatūros.

Galybė programišių, dirbančių abiejose barikadų pusėse, taip pat daugybė IT saugumo ekspertų ir analitikų įvairiose diskusijose išsako paprastą tiesą: nebūtina laužti durų, spynų, bandyti parinkti reikiamus raktus, ieškoti pažeidžiamumų programinėje ar aparatinėje įrangoje ar visa tai aprašančiose technologijose. Paprasčiau įsilaužti į saugomas sistemas, pasinaudojant socialinės inžinerijos metodais.

Viskas taip paprasta, kaip du kart du: galima paskambinti darbuotojui, kuris žino slaptažodį, ir apgaulės būdu išpešti reikiamą informaciją. Galima tiesiog pasinaudoti žmogaus patiklumu. Arba pasirausti iš biuro išmetamose šiukšlėse. Galima netgi pasinaudoti termorektalinės kriptografijos metodu (taip juokais vadinamas fizinis ir psichologinis spaudimas reikiamo žmogaus atžvilgiu). Jei jis žino tai, ko mums reikia, galų gale jis visa tai pasakys, nori jis to ar nenori.

Prisiminti, bet nežinoti

Rodos, dar visai neseniai ši problema buvo neišsprendžiama. Tačiau sprendimas, panašu, atsirado, kai grupė amerikiečių mokslininkų (D.Sanchezas, P.Reberis, H.Bojinovas, D.Bonehas ir P.Lincolnas) publikavo savo naują darbą, kuriame demonstruojamas, rodos, mokslinės fantastikos vertas dalykas: pasirodo, žmogų galima priversti prisiminti slaptažodį, kurio jis niekada negalės išduoti.

Pasirodo, žmogų galima priversti prisiminti slaptažodį, kurio jis niekada negalės išduoti.

Mokslininkai pasirinko užslėpto mokymosi mechanizmą. Skirtingai nuo akivaizdaus mokymosi, kai mes, pavyzdžiui, kremtame knygas mokyklose ar universitetuose, slapto mokymosi metodas siūlo patirtį kaupti klaidų ir bandymų būdu, žmogui to nepastebint.

Ką tai reiškia ir kaip tai vyksta? Prisiminkite, kaip mokėtės važiuoti dviračiu, ir viskas bus žymiai aiškiau. Ta informacija, duomenys, gebėjimai, kurie buvo gauti tokio mokymosi metu, saugomi tose smegenų zonose, kurios atskirtos nuo suvokiamų faktų atminties. Taigi, jūs negalite žodžiais apibūdinti, kaip važiuodami dviračiu išlaikote pusiausvyrą. Šis mechanizmas tiriamas jau dešimtmečius ir mokslininkai ne pirmą kartą susimąsto, kaip jį panaudoti, pašalinant slaptažodžių apsaugos silpnąsias vietas. Tačiau būtent minėta amerikiečių mokslininkų grupė sugebėjo mokslo pasiekimus perteikti praktinio algoritmo forma, kuri gali būti panaudota realiame gyvenime.

Tai, ką jie atliko, iš pirmo žvilgsnio atrodo labai paprasta: mokslininkai sukūrė žaidimą (jį galima pažaisti, pasinaudojus šia nuoroda). Jame pamatysite šešias stiklines, į jas krenta rutuliukai, o žaidėjas turi reikiamu momentu suspėti spustelti stiklinę atitinkantį klaviatūros mygtuką (S, D, F ir t.t.). Iš pirmo žvilgsnio tai gali priminti daugeliui žinomą „Guitar Hero“ žaidimą. Skirtumas tas, kad nėra pačios gitaros.

Žaidimas trunka nuo 30 minučių iki valandos, rutuliukai krenta atsitiktine tvarka. Tačiau paslaptis slypi tame, kad viskas atsitiktinai vyksta tik iš pirmo žvilgsnio. Iš tikrųjų, pačiam vartotojui net nepastebint, daugiau nei šimtą kartų per žaidimą rutuliukai pradeda kristi tam tikra seka, kuri atitinka tam tikrą raidžių rinkinį. Užsirašęs tuo metu spaudžiamus mygtukus, žmogus pamatytų prasmės neturinčią 30 simbolių kombinaciją. Ir nori jis to ar ne, tačiau žaidimui pasibaigus, ši kombinacija jau tupi jo smegenyse!

Žaidėjas negali prisiminti šios kombinacijos – nei visos, nei dalimis. Jis nieko nepajus (nebus kažko panašaus į „aš jau tai kažkur mačiau!“), jei jam parodytume šią kombinaciją, užrašytą ant popieriaus. Ir vis tik, jei dabar žmogų vėl pasodintume prie šio žaidimo ir vėl pradėtų kristi rutuliukai atitinkama seka, jis įveiktų žaidimą greičiau, nei tuomet, kai tik mokėsi jį žaisti. Jis sąmoningai nesuvokia savo patirties, tačiau pirštai prisimena, kaip reikia reaguoti konkrečiu atveju. Ir statistika tai puikiai įrodo (žaidėjas atliks mažiau klaidų).

Grįžtant apie analogiško „Guitar Hero“, rezultatą galima paaiškinti taip: išmoktą melodiją sugrosime geriau.

Taigi, mūsų smegenyse atsiradusi 30 simbolių kombinacija ir yra slaptažodis, kurį žmogui reikia įsiminti. Mokslininkai įrodė, kad informacija „bandomojo triušio“ galvoje išlieka mažiausiai keletą savaičių ir greičiausiai ji ten išliks daug ilgesnį laiką, jei tikėtume turimais duomenimis apie žmogaus atminties funkcionavimo mechanizmą.

Garantuoti tokį efektą galima periodiškai treniruojantis (visa tai užtruks trumpiau, nei mokymosi procesas). Patikrinimas, ar slaptažodis įsimintas, trunka apie penkias minutes.

Tobulas slaptažodis?

Amerikiečių mokslininkai savo projektą klasifikuoja kaip priklausantį elgesio biometrijos ir kognityvinės psichologijos sritims. Nereikia būti šių sričių specialistu, kad suprastum, jog namų kompiuterių apsaugai panaši apsauga bus itin sudėtinga.

Tyrimo autoriai mano, kad visa tai galima panaudoti ypač svarbių objektų apsaugai, pavyzdžiui, atominėse elektrinėse ar karinės paskirties objektuose. Antra vertus, žinant tai, jog šiais laikais ir finansų sistema gali sukelti katastrofiškus padarinius, projektu gali susidomėti ir privačios bendrovės. Juk toks mokymas ne tik leidžia „įkalti“ į galvą jokios prasmės neturinčią simbolių kombinaciją (netgi ir labai norėdami, vargu ar sąmoningai imsite tai daryti), bet ir garantuoja, jog žinantis tokį slaptažodį žmogus niekada jo neišduos.

Žmogui net nepastebint, daugiau nei šimtą kartų per žaidimą rutuliukai pradeda kristi tam tikra seka, kuri atitinka tam tikrą raidžių rinkinį.

Galime įsivaizduoti, kad su tokiu mokslininkų sukurtu treniruokliu pasitreniravusį darbuotoją pagrobia nusikaltėliai. Kaip ištraukti iš jo slaptažodį? Fizinė jėga nepadės: informacija saugoma toje smegenų zonoje, kuri atskirta nuo sąmoningai suvokiamų faktų atminties srities, todėl žmogus negalės slaptažodžio užrašyti ar jį atpažinti.

Pasodinti žmogelį prie kompiuterio, kuriame veikia treniruoklio kopija? Taip pat beviltiška, kadangi slaptažodžio žinojimo patikrinimui rutuliukai turėtų kristi tam tikra seka. Kitais žodžiais tariant, žaidimas turi žinoti, kokią melodiją sugroti, kad būtų galima patikrinti žaidėjo reakciją. Taigi, reikėtų ne tik pagrobti žmogų, bet ir gauti prieigą prie jo kompiuterio. Tačiau norint prisijungti – reikia slaptažodžio.

Dar daugiau, jei vis tik nusikaltėliams pavyktų pasodinti darbuotoją prie tarnybinio kompiuterio, yra teorinė galimybė atpažinti (atsižvelgiant į mygtukų paspaudimo stilių), ar žmogus yra veikiamas prieš savo valią.

Aišku, klausimų vis dar daugiau, nei atsakymų. Kaip ilgai be pakartotinių treniruočių vartotojas galės atkurti slaptažodį? Kaip greitai auga klaidų skaičius? Ar galima sutrumpinti mokymosi laiką, nepakenkiant slaptažodžio stiprumui? Juo labiau ar ilgai toks metodas bus konkurencingas, kai pasirodys kitos technologijos, pavyzdžiui, IBM kuriama multifaktorinė biometrija, kuri jau po penkerių metų gali pakeisti slaptažodžius, kuriuos prisiminsime tik kaip naktinį košmarą. Aišku, ir „Mėlynojo giganto“ siūlomas variantas nėra idealus: juk mes patys tampame slaptažodžiu, kurio niekada nebepakeisime.

Tad eilinį kartą tenka konstatuoti: idealaus slaptažodžio paieškos tęsiasi, o šis mokslininkų darbas –įdomus žingsnis srityje, kurioje mokslo žmonės suka galvas ne vieną dešimtmetį.

FaceIT.lt

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą

Naujienos

Aktualu

„Čia – estai, čia – rusai“: rinkimų kampanijos plakatas sukėlė skandalą Taline

24sek

N.Wolterso žmonai linkėjimus siuntęs Šaras džiaugėsi pozityviais „Žalgirio“ postūmiais

15min iš Gdansko Aktualu

Gdanskas atiduoda paskutinę pagarbą nužudytam merui – karstą lydėjo tūkstančiai

Vardai

„Žmonės 2019“ apdovanojimai: vyriškos ašaros, naujoko sėkmė ir įkvepiančios kalbos

Aktualu

Prezidento rinkimai artėja – R.Žemaitaitis įvardijo naujas galimas pavardes

24sek

Juoda serija nutraukta įspūdingai – Kauno „Žalgiris“ parbloškė „Panathinaikos“

Vardai

Dūzgės neįprastoje aplinkoje: Operos ir baleto teatre įžymybės šventė kartu su metų geriausiais

Kultūra

Įvertino M.Ivaškevičiaus partizanus: vaizduoti ne kaip idealizuoti herojai, o kaip sudėtingos asmenybės

Vardai

Karolina Meschino ir Remis nustebino išskirtiniu stiliumi: aprangą derino prie reperio plaukų spalvos

15min iš Dakaro Gazas

Gera žinia: Balys Bardauskas po operacijos šypsosi ir drąsina kitus

Įspūdingiausi 2019 metų Dakaro ralio kadrai

24sek

Akinantį šou sukūręs Aaronas White'as: „Dėl to mes žaidžiame krepšinį“

Vardai

Operos ir baleto teatre – iškilmingi apdovanojimai: ant raudono kilimo sublizgo ryškiausios žvaigždės

Atsisveikinimas su Sauliumi Karosu

15min iš Berlyno Verslas

„Karas“ baigtas: nuo kitos savaitės lenkai vėl įsileis lietuviškas kiaules

Pasaulis kišenėje

„Wizz Air“ pakėlė bagažo kainas – norint pasiimti lagaminą teks mokėti daugiau

24sek

Sensacija Eurolygoje – „Budučnost“ nukovė Madrido „Real“ žvaigždes

Aktualu

Panevėžio rajone prie įklimpusio „Opel“ aptiktas vyras atsisakė tikrintis blaivumą

Verslas

Karalius nukarūnuotas: JAV rinką drebinusio namo kaina sumažinta beveik perpus

Aktualu

Vilniuje nufilmuotas „holivudinis“ epizodas: į veidą nukreiptas ginklas – baisiau už raudoną šviesoforą

15min iš Berlyno Verslas

Berlyno „Žaliojoje savaitėje“ liejasi alkoholis: mažiau už lietuvius turi tik lenkai ir rusai

Aktualu

Devynmetės įvaikinimo drama: buvęs garsus teisėjas nesupranta kolegos motyvų

Aktualu

Dūžta viltys išeiti į laisvę: amnestija bus pritaikyta tik nedaugeliui

15min iš Dakaro Gazas

Dakaro dienoraštis Nr.10. Kodėl Dakaro čempionas sveikinasi lietuviškai?

24sek

Milano „Olimpia“ krizė – po dramatiško finišo krito Vitorijoje

Naujienos

Aktualu

„Čia – estai, čia – rusai“: rinkimų kampanijos plakatas sukėlė skandalą Taline

24sek

N.Wolterso žmonai linkėjimus siuntęs Šaras džiaugėsi pozityviais „Žalgirio“ postūmiais

15min iš Gdansko Aktualu

Gdanskas atiduoda paskutinę pagarbą nužudytam merui – karstą lydėjo tūkstančiai

Vardai

„Žmonės 2019“ apdovanojimai: vyriškos ašaros, naujoko sėkmė ir įkvepiančios kalbos

Aktualu

Prezidento rinkimai artėja – R.Žemaitaitis įvardijo naujas galimas pavardes

24sek

Juoda serija nutraukta įspūdingai – Kauno „Žalgiris“ parbloškė „Panathinaikos“

Vardai

Dūzgės neįprastoje aplinkoje: Operos ir baleto teatre įžymybės šventė kartu su metų geriausiais

Kultūra

Įvertino M.Ivaškevičiaus partizanus: vaizduoti ne kaip idealizuoti herojai, o kaip sudėtingos asmenybės

Vardai

Karolina Meschino ir Remis nustebino išskirtiniu stiliumi: aprangą derino prie reperio plaukų spalvos

15min iš Dakaro Gazas

Gera žinia: Balys Bardauskas po operacijos šypsosi ir drąsina kitus

Įspūdingiausi 2019 metų Dakaro ralio kadrai

24sek

Akinantį šou sukūręs Aaronas White'as: „Dėl to mes žaidžiame krepšinį“

Vardai

Operos ir baleto teatre – iškilmingi apdovanojimai: ant raudono kilimo sublizgo ryškiausios žvaigždės

Atsisveikinimas su Sauliumi Karosu

15min iš Berlyno Verslas

„Karas“ baigtas: nuo kitos savaitės lenkai vėl įsileis lietuviškas kiaules

Pasaulis kišenėje

„Wizz Air“ pakėlė bagažo kainas – norint pasiimti lagaminą teks mokėti daugiau

24sek

Sensacija Eurolygoje – „Budučnost“ nukovė Madrido „Real“ žvaigždes

Aktualu

Panevėžio rajone prie įklimpusio „Opel“ aptiktas vyras atsisakė tikrintis blaivumą

Verslas

Karalius nukarūnuotas: JAV rinką drebinusio namo kaina sumažinta beveik perpus

Aktualu

Vilniuje nufilmuotas „holivudinis“ epizodas: į veidą nukreiptas ginklas – baisiau už raudoną šviesoforą

15min iš Berlyno Verslas

Berlyno „Žaliojoje savaitėje“ liejasi alkoholis: mažiau už lietuvius turi tik lenkai ir rusai

Aktualu

Devynmetės įvaikinimo drama: buvęs garsus teisėjas nesupranta kolegos motyvų

Aktualu

Dūžta viltys išeiti į laisvę: amnestija bus pritaikyta tik nedaugeliui

15min iš Dakaro Gazas

Dakaro dienoraštis Nr.10. Kodėl Dakaro čempionas sveikinasi lietuviškai?

24sek

Milano „Olimpia“ krizė – po dramatiško finišo krito Vitorijoje

Vardai

Gera keliauti kartu

Praktiški patarimai

Video

00:21
20:23
01:49

Maistas

Parašykite atsiliepimą apie Mokslas.IT