Dabar populiaru
Publikuota: 2012 rugpjūčio 12d. 09:27

Prisiminti, bet nežinoti: idealaus slaptažodžio link

Kompiuteris su spyna
123rf.com nuotr. / Kompiuteris su spyna

Informacinių sistemų (ir ne tik jų) apsaugos teorijoje yra sena, bet puiki taisyklė: apsaugos sistemos saugumas priklauso nuo silpniausio jos elemento.

Nereikia jokių įrodymų, kad ši taisyklė – teisinga. Pavyzdžiui, banke galima įdiegti ypač brangias spynas, visus darbuotojus identifikuoti pagal akies rainelę arba pirštų atspaudus (ar net pagal unikalų širdies ritmą, kaip siūlo kai kurie mokslininkai), papildomai priversti įsiminti nesąmoningus slaptažodžius, kuriuos sudaro kelios dešimtys skaičių, tačiau kol darbuotojai visus slaptažodžius saugos ant kompiuterių monitorių užklijuotų popieriukų, nieko apsaugoti nepavyks.

Kam reikėjo šios beletristikos? Ogi tam, kad primintume, jog pati silpniausia grandis yra žmogus. Galime jį vadinti vartotoju arba tiesiog tarpine grandimi tarp kėdės ir klaviatūros.

Galybė programišių, dirbančių abiejose barikadų pusėse, taip pat daugybė IT saugumo ekspertų ir analitikų įvairiose diskusijose išsako paprastą tiesą: nebūtina laužti durų, spynų, bandyti parinkti reikiamus raktus, ieškoti pažeidžiamumų programinėje ar aparatinėje įrangoje ar visa tai aprašančiose technologijose. Paprasčiau įsilaužti į saugomas sistemas, pasinaudojant socialinės inžinerijos metodais.

Viskas taip paprasta, kaip du kart du: galima paskambinti darbuotojui, kuris žino slaptažodį, ir apgaulės būdu išpešti reikiamą informaciją. Galima tiesiog pasinaudoti žmogaus patiklumu. Arba pasirausti iš biuro išmetamose šiukšlėse. Galima netgi pasinaudoti termorektalinės kriptografijos metodu (taip juokais vadinamas fizinis ir psichologinis spaudimas reikiamo žmogaus atžvilgiu). Jei jis žino tai, ko mums reikia, galų gale jis visa tai pasakys, nori jis to ar nenori.

Prisiminti, bet nežinoti

Rodos, dar visai neseniai ši problema buvo neišsprendžiama. Tačiau sprendimas, panašu, atsirado, kai grupė amerikiečių mokslininkų (D.Sanchezas, P.Reberis, H.Bojinovas, D.Bonehas ir P.Lincolnas) publikavo savo naują darbą, kuriame demonstruojamas, rodos, mokslinės fantastikos vertas dalykas: pasirodo, žmogų galima priversti prisiminti slaptažodį, kurio jis niekada negalės išduoti.

Pasirodo, žmogų galima priversti prisiminti slaptažodį, kurio jis niekada negalės išduoti.

Mokslininkai pasirinko užslėpto mokymosi mechanizmą. Skirtingai nuo akivaizdaus mokymosi, kai mes, pavyzdžiui, kremtame knygas mokyklose ar universitetuose, slapto mokymosi metodas siūlo patirtį kaupti klaidų ir bandymų būdu, žmogui to nepastebint.

Ką tai reiškia ir kaip tai vyksta? Prisiminkite, kaip mokėtės važiuoti dviračiu, ir viskas bus žymiai aiškiau. Ta informacija, duomenys, gebėjimai, kurie buvo gauti tokio mokymosi metu, saugomi tose smegenų zonose, kurios atskirtos nuo suvokiamų faktų atminties. Taigi, jūs negalite žodžiais apibūdinti, kaip važiuodami dviračiu išlaikote pusiausvyrą. Šis mechanizmas tiriamas jau dešimtmečius ir mokslininkai ne pirmą kartą susimąsto, kaip jį panaudoti, pašalinant slaptažodžių apsaugos silpnąsias vietas. Tačiau būtent minėta amerikiečių mokslininkų grupė sugebėjo mokslo pasiekimus perteikti praktinio algoritmo forma, kuri gali būti panaudota realiame gyvenime.

Tai, ką jie atliko, iš pirmo žvilgsnio atrodo labai paprasta: mokslininkai sukūrė žaidimą (jį galima pažaisti, pasinaudojus šia nuoroda). Jame pamatysite šešias stiklines, į jas krenta rutuliukai, o žaidėjas turi reikiamu momentu suspėti spustelti stiklinę atitinkantį klaviatūros mygtuką (S, D, F ir t.t.). Iš pirmo žvilgsnio tai gali priminti daugeliui žinomą „Guitar Hero“ žaidimą. Skirtumas tas, kad nėra pačios gitaros.

Žaidimas trunka nuo 30 minučių iki valandos, rutuliukai krenta atsitiktine tvarka. Tačiau paslaptis slypi tame, kad viskas atsitiktinai vyksta tik iš pirmo žvilgsnio. Iš tikrųjų, pačiam vartotojui net nepastebint, daugiau nei šimtą kartų per žaidimą rutuliukai pradeda kristi tam tikra seka, kuri atitinka tam tikrą raidžių rinkinį. Užsirašęs tuo metu spaudžiamus mygtukus, žmogus pamatytų prasmės neturinčią 30 simbolių kombinaciją. Ir nori jis to ar ne, tačiau žaidimui pasibaigus, ši kombinacija jau tupi jo smegenyse!

Žaidėjas negali prisiminti šios kombinacijos – nei visos, nei dalimis. Jis nieko nepajus (nebus kažko panašaus į „aš jau tai kažkur mačiau!“), jei jam parodytume šią kombinaciją, užrašytą ant popieriaus. Ir vis tik, jei dabar žmogų vėl pasodintume prie šio žaidimo ir vėl pradėtų kristi rutuliukai atitinkama seka, jis įveiktų žaidimą greičiau, nei tuomet, kai tik mokėsi jį žaisti. Jis sąmoningai nesuvokia savo patirties, tačiau pirštai prisimena, kaip reikia reaguoti konkrečiu atveju. Ir statistika tai puikiai įrodo (žaidėjas atliks mažiau klaidų).

Grįžtant apie analogiško „Guitar Hero“, rezultatą galima paaiškinti taip: išmoktą melodiją sugrosime geriau.

Taigi, mūsų smegenyse atsiradusi 30 simbolių kombinacija ir yra slaptažodis, kurį žmogui reikia įsiminti. Mokslininkai įrodė, kad informacija „bandomojo triušio“ galvoje išlieka mažiausiai keletą savaičių ir greičiausiai ji ten išliks daug ilgesnį laiką, jei tikėtume turimais duomenimis apie žmogaus atminties funkcionavimo mechanizmą.

Garantuoti tokį efektą galima periodiškai treniruojantis (visa tai užtruks trumpiau, nei mokymosi procesas). Patikrinimas, ar slaptažodis įsimintas, trunka apie penkias minutes.

Tobulas slaptažodis?

Amerikiečių mokslininkai savo projektą klasifikuoja kaip priklausantį elgesio biometrijos ir kognityvinės psichologijos sritims. Nereikia būti šių sričių specialistu, kad suprastum, jog namų kompiuterių apsaugai panaši apsauga bus itin sudėtinga.

Tyrimo autoriai mano, kad visa tai galima panaudoti ypač svarbių objektų apsaugai, pavyzdžiui, atominėse elektrinėse ar karinės paskirties objektuose. Antra vertus, žinant tai, jog šiais laikais ir finansų sistema gali sukelti katastrofiškus padarinius, projektu gali susidomėti ir privačios bendrovės. Juk toks mokymas ne tik leidžia „įkalti“ į galvą jokios prasmės neturinčią simbolių kombinaciją (netgi ir labai norėdami, vargu ar sąmoningai imsite tai daryti), bet ir garantuoja, jog žinantis tokį slaptažodį žmogus niekada jo neišduos.

Žmogui net nepastebint, daugiau nei šimtą kartų per žaidimą rutuliukai pradeda kristi tam tikra seka, kuri atitinka tam tikrą raidžių rinkinį.

Galime įsivaizduoti, kad su tokiu mokslininkų sukurtu treniruokliu pasitreniravusį darbuotoją pagrobia nusikaltėliai. Kaip ištraukti iš jo slaptažodį? Fizinė jėga nepadės: informacija saugoma toje smegenų zonoje, kuri atskirta nuo sąmoningai suvokiamų faktų atminties srities, todėl žmogus negalės slaptažodžio užrašyti ar jį atpažinti.

Pasodinti žmogelį prie kompiuterio, kuriame veikia treniruoklio kopija? Taip pat beviltiška, kadangi slaptažodžio žinojimo patikrinimui rutuliukai turėtų kristi tam tikra seka. Kitais žodžiais tariant, žaidimas turi žinoti, kokią melodiją sugroti, kad būtų galima patikrinti žaidėjo reakciją. Taigi, reikėtų ne tik pagrobti žmogų, bet ir gauti prieigą prie jo kompiuterio. Tačiau norint prisijungti – reikia slaptažodžio.

Dar daugiau, jei vis tik nusikaltėliams pavyktų pasodinti darbuotoją prie tarnybinio kompiuterio, yra teorinė galimybė atpažinti (atsižvelgiant į mygtukų paspaudimo stilių), ar žmogus yra veikiamas prieš savo valią.

Aišku, klausimų vis dar daugiau, nei atsakymų. Kaip ilgai be pakartotinių treniruočių vartotojas galės atkurti slaptažodį? Kaip greitai auga klaidų skaičius? Ar galima sutrumpinti mokymosi laiką, nepakenkiant slaptažodžio stiprumui? Juo labiau ar ilgai toks metodas bus konkurencingas, kai pasirodys kitos technologijos, pavyzdžiui, IBM kuriama multifaktorinė biometrija, kuri jau po penkerių metų gali pakeisti slaptažodžius, kuriuos prisiminsime tik kaip naktinį košmarą. Aišku, ir „Mėlynojo giganto“ siūlomas variantas nėra idealus: juk mes patys tampame slaptažodžiu, kurio niekada nebepakeisime.

Tad eilinį kartą tenka konstatuoti: idealaus slaptažodžio paieškos tęsiasi, o šis mokslininkų darbas –įdomus žingsnis srityje, kurioje mokslo žmonės suka galvas ne vieną dešimtmetį.

FaceIT.lt

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą

Naujienos

Gyvenimas

Lietuvių šeimoje – kaip seriale: pagimdė vieną, o namo iškeliavo su trim kūdikiais

Maistas

Vytaro Radzevičiaus „Pasaulio puodai“: velsietiški pyragėliai

Verslas

Lietuviško nedarbo grimasos: ėmė paskolą, kad galėtų susirasti darbą

Verslas

Karščio banga į Palangą sutraukė minias poilsiautojų: šis savaitgalis – išskirtinis

Tiesiogiai Gazas

„Formulės 1“ kvalifikacija Vokietijoje, pasibaigus lietui, prasidėjo L.Hamiltono nelaime

Tiesiogiai Gazas

Prasidėjo „Aurum 1006 km lenktynės“: pirmauja trys „Porsche“, į TOP10 taiko net penki TCR

Aktualu

Savanoriais per popiežiaus vizitą pasisiūlė dvigubai daugiau žmonių nei reikia

Vardai

Į Palangos lenktynes D.Matijošaitis atvyko su 2 mėn. sūnumi: „Tėvystė veža labiau nei automobiliai“

Sportas

Stebėkite tiesiogiai: vandenlenčių varžybos „Red Bull Wake2el“

Sportas

Grubiu žaidimu „sąskaitas suvedinėjusį“ varžovą A.Novikovas pasiūlė spirti lauk iš komandos

Aktualu

Parlamentarai daugiausia lėšų leidžia automobiliams: išlaidų lyderis – P.Gražulis

Vardai

Prieš mėnesį ištekėjusi Vasha jau parduoda vestuvinę suknelę: „Maniau, tikrai ją pasiliksiu“

Gazas

Naujas Lietuvos rekordas: elektromobiliu 1000 km įveikti per 21 val. 33 min.

Pasaulis kišenėje

Atostogos Peloponese – begėdiška puota pilvui ir akims

Gazas

Linksmoji „Aurum 1006 km lenktynių“ dalis: išrinkite gražiausius „pieno ūsus“

Verslas

Lietuvos ekonomika sovietinėse fotografijose: propaganda dangstė gėdą

Vardai

Oskarą Koršunovą į Avinjono festivalį atlydėjo mylimoji Alexandra Kremer: „Jis – genijus“

Gyvenimas

Dietologė: mėgstami vasaros patiekalai gali sugadinti virškinimo sistemą visam gyvenimui

Gyvenimas

Turkiją įsimylėjusi D.Dabulskytė į lėktuvą namo neįsėdo: kuo žavi ir kuo erzina turkų vyrai

Aktualu

Lietuva siunčia pagalbą degančioms kaimynėms – gaisrus gesina Švedijoje ir Latvijoje

Naujienos

Gyvenimas

Lietuvių šeimoje – kaip seriale: pagimdė vieną, o namo iškeliavo su trim kūdikiais

Maistas

Vytaro Radzevičiaus „Pasaulio puodai“: velsietiški pyragėliai

Verslas

Lietuviško nedarbo grimasos: ėmė paskolą, kad galėtų susirasti darbą

Tiesiogiai Gazas

Prasidėjo „Aurum 1006 km lenktynės“: pirmauja trys „Porsche“, iš lenktynių pasitraukė E.Globytės komanda

Verslas

Karščio banga į Palangą sutraukė minias poilsiautojų: šis savaitgalis – išskirtinis

Gazas

„Formulės 1“ kvalifikacija Vokietijoje: L.Hamiltonas apmaudžiai pasitraukė, S.Vettelis mynė iki paskutinio rato

Aktualu

Savanoriais per popiežiaus vizitą pasisiūlė dvigubai daugiau žmonių nei reikia

Vardai

Į Palangos lenktynes D.Matijošaitis atvyko su 2 mėn. sūnumi: „Tėvystė veža labiau nei automobiliai“

Sportas

Stebėkite tiesiogiai: vandenlenčių varžybos „Red Bull Wake2el“

Sportas

Grubiu žaidimu „sąskaitas suvedinėjusį“ varžovą A.Novikovas pasiūlė spirti lauk iš komandos

Aktualu

Parlamentarai daugiausia lėšų leidžia automobiliams: išlaidų lyderis – P.Gražulis

Vardai

Prieš mėnesį ištekėjusi Vasha jau parduoda vestuvinę suknelę: „Maniau, tikrai ją pasiliksiu“

Gazas

Naujas Lietuvos rekordas: elektromobiliu 1000 km įveikti per 21 val. 33 min.

Pasaulis kišenėje

Atostogos Peloponese – begėdiška puota pilvui ir akims

Gazas

Linksmoji „Aurum 1006 km lenktynių“ dalis: išrinkite gražiausius „pieno ūsus“

Verslas

Lietuvos ekonomika sovietinėse fotografijose: propaganda dangstė gėdą

Vardai

Oskarą Koršunovą į Avinjono festivalį atlydėjo mylimoji Alexandra Kremer: „Jis – genijus“

Gyvenimas

Dietologė: mėgstami vasaros patiekalai gali sugadinti virškinimo sistemą visam gyvenimui

Gyvenimas

Turkiją įsimylėjusi D.Dabulskytė į lėktuvą namo neįsėdo: kuo žavi ir kuo erzina turkų vyrai

Aktualu

Lietuva siunčia pagalbą degančioms kaimynėms – gaisrus gesina Švedijoje ir Latvijoje

Vardai

Idėjos savaitgaliui

Išmanus kaimas

Festivalis „Galapagai”

Parašykite atsiliepimą apie Mokslas.IT