Internet Security: perché i tuoi pensieri interni possono diventare la tua prossima password

Il tuo cervello è una fonte inesauribile di password sicure, ma potresti non dover ricordare nulla. Password e PIN con lettere e numeri sono relativamente facili da hackerare, difficili da ricordare e generalmente insicuri. La biometria sta iniziando a prendere il suo posto, con le impronte digitali, il riconoscimento facciale e la scansione della retina che diventano comuni anche negli accessi di routine per computer, smartphone e altri dispositivi comuni.

Sono più sicuri perché sono più difficili da falsificare, ma i dati biometrici hanno una vulnerabilità cruciale: una persona ha solo una faccia, due retine e 10 impronte digitali. Rappresentano password che non possono essere ripristinate se sono compromesse.

Come i nomi utente e le password, le credenziali biometriche sono vulnerabili alle violazioni dei dati. Nel 2015, ad esempio, è stata violata la banca dati contenente le impronte digitali di 5,6 milioni di dipendenti federali statunitensi. Queste persone non dovrebbero usare le loro impronte digitali per proteggere alcun dispositivo, sia per uso personale che al lavoro. La prossima violazione potrebbe rubare fotografie o dati di scansione della retina, rendendo questi dati biometrici inutili per la sicurezza.

Il nostro team ha lavorato per anni con collaboratori di altre istituzioni e ha inventato un nuovo tipo di biometria che è sia univocamente legato a un singolo essere umano che può essere ripristinato, se necessario.

Dentro la mente

Quando una persona guarda una fotografia o ascolta un brano musicale, il suo cervello risponde in modi che i ricercatori o medici possono misurare con sensori elettrici posti sul suo cuoio capelluto. Abbiamo scoperto che il cervello di ogni persona risponde in modo diverso a uno stimolo esterno, quindi anche se due persone guardano la stessa fotografia, le letture della loro attività cerebrale saranno diverse.

Questo processo è automatico e inconscio, quindi una persona non può controllare quale reazione cerebrale accade. E ogni volta che una persona vede una foto di una celebrità particolare, il suo cervello reagisce allo stesso modo, anche se in modo diverso da quello di tutti gli altri.

Ci siamo resi conto che questo rappresenta un'opportunità per una combinazione unica che può servire come quella che chiamiamo "password del cervello". Non è solo un attributo fisico del loro corpo, come un'impronta digitale o il modello dei vasi sanguigni nella loro retina. Invece, è un mix della struttura unica del cervello biologico della persona e della sua memoria involontaria che determina come reagisce a uno stimolo particolare.

Creare una password per il cervello

La password del cervello di una persona è una lettura digitale della loro attività cerebrale mentre si guarda una serie di immagini. Proprio come le password sono più sicure se includono diversi tipi di caratteri - lettere, numeri e punteggiatura - una password del cervello è più sicura se include le letture delle onde cerebrali di una persona che osserva una collezione di diversi tipi di immagini.

Per impostare la password, la persona verrebbe autenticata in un altro modo, come ad esempio venire a lavorare con un passaporto o altro documento identificativo, oppure avere le impronte digitali o il volto confrontato con i record esistenti. Quindi la persona indossava un morbido cappello o un casco imbottito con sensori elettrici all'interno. Un monitor mostrerebbe, ad esempio, un'immagine di un maiale, il viso di Denzel Washington e il testo Chiamami Ismaele, la frase di apertura del classico di Herman Melville, Moby Dick.

I sensori registrano le onde cerebrali della persona. Proprio come quando si registra un'impronta digitale per il Touch ID di un iPhone, sarebbero necessarie letture multiple per raccogliere una registrazione iniziale completa. La nostra ricerca ha confermato che una combinazione di immagini come questa evocerebbe letture di onde cerebrali uniche per una determinata persona e coerenti da un tentativo di accesso a un altro.

Successivamente, per accedere o accedere a un edificio o una stanza protetta, la persona indosserà il cappello e osserverà la sequenza di immagini. Un sistema informatico potrebbe confrontare le proprie onde cerebrali in quel momento con ciò che era stato inizialmente memorizzato, e o concedere l'accesso o negarlo, a seconda dei risultati. Ci vorrebbero circa cinque secondi, non molto più lunghi di una password o digitando un PIN in un tastierino numerico.

Dopo un attacco

Il vero vantaggio della password di Brain entra in gioco dopo l'inevitabile attacco di un database di login. Se un hacker irrompe nel sistema memorizzando i modelli biometrici o utilizza l'elettronica per contraffare i segnali cerebrali di una persona, quell'informazione non è più utile per la sicurezza. Una persona non può cambiare il loro volto o le loro impronte digitali - ma può cambiare la sua password del cervello.

È abbastanza facile autenticare l'identità di una persona in un altro modo, e fargli impostare una nuova password guardando tre nuove immagini - forse questa volta con una foto di un cane, un disegno di George Washington e una citazione di Gandhi. Poiché sono immagini diverse dalla password iniziale, anche i modelli di onde cerebrali sarebbero diversi. La nostra ricerca ha scoperto che la nuova password del cervello sarebbe molto difficile da capire per gli aggressori, anche se hanno tentato di usare le vecchie letture delle onde cerebrali come aiuto.

Le password del cervello sono continuamente ripristinabili, perché ci sono così tante foto possibili e una vasta gamma di combinazioni che possono essere fatte da quelle immagini. Non c'è modo di esaurire queste misure di sicurezza migliorate biometriche.

Sicuro - E sicuro

Come ricercatori, siamo consapevoli che potrebbe essere preoccupante o addirittura inquietante per un datore di lavoro o un servizio internet utilizzare l'autenticazione che legge l'attività cerebrale delle persone. Parte della nostra ricerca comportava di capire come prendere solo la quantità minima di letture per garantire risultati affidabili - e una sicurezza adeguata - senza aver bisogno di così tante misurazioni che una persona potesse sentirsi violata o preoccupata che un computer stesse cercando di leggere nella loro mente.

Inizialmente abbiamo provato a usare 32 sensori su tutta la testa di una persona, e abbiamo trovato che i risultati erano affidabili. Poi abbiamo progressivamente ridotto il numero di sensori per vedere quanti ne erano realmente necessari e abbiamo scoperto che potevamo ottenere risultati chiari e sicuri con soli tre sensori posizionati correttamente.

Ciò significa che il nostro dispositivo sensore è così piccolo da poter essere inserito invisibilmente all'interno di un cappello o di un auricolare per realtà virtuale. Ciò apre la porta a molti potenziali usi. Una persona che indossa copricapo intelligente, ad esempio, potrebbe facilmente aprire porte o computer con password del cervello. Il nostro metodo potrebbe anche rendere le auto più difficili da rubare - prima di iniziare, l'autista dovrebbe indossare un cappello e guardare alcune immagini visualizzate sullo schermo di un cruscotto.

Altre strade si stanno aprendo quando emergono nuove tecnologie. Il gigante cinese dell'e-commerce Alibaba ha recentemente presentato un sistema per l'utilizzo della realtà virtuale per acquistare articoli, compresi gli acquisti online direttamente nell'ambiente VR. Se le informazioni di pagamento sono memorizzate nell'auricolare VR, chiunque lo utilizza o lo ruba sarà in grado di acquistare tutto ciò che è disponibile. Un auricolare che legge le onde cerebrali dell'utente potrebbe rendere molto più sicuri gli acquisti, i login o l'accesso fisico alle aree sensibili.

Questo articolo è stato originariamente pubblicato su The Conversation di Wenyao Xu, Feng Lin e Zhanpeng Jin. Leggi l'articolo originale qui.