Prisiminti, bet nežinoti: idealaus slaptažodžio link

Informacinių sistemų (ir ne tik jų) apsaugos teorijoje yra sena, bet puiki taisyklė: apsaugos sistemos saugumas priklauso nuo silpniausio jos elemento. Nereikia jokių įrodymų, kad ši taisyklė – teisinga.

Pavyzdžiui, banke galima įdiegti ypač brangias spynas, visus darbuotojus identifikuoti pagal akies rainelę arba pirštų atspaudus (ar net pagal unikalų širdies ritmą, kaip siūlo kai kurie mokslininkai), papildomai priversti įsiminti nesąmoningus slaptažodžius, kuriuos sudaro kelios dešimtys skaičių, tačiau kol darbuotojai visus slaptažodžius saugos ant kompiuterių monitorių užklijuotų popieriukų, nieko apsaugoti nepavyks.

Kam reikėjo šios beletristikos? Ogi tam, kad primintume, jog pati silpniausia grandis yra žmogus. Galime jį vadinti vartotoju arba tiesiog tarpine grandimi tarp kėdės ir klaviatūros.

Galybė programišių, dirbančių abiejose barikadų pusėse, taip pat daugybė IT saugumo ekspertų ir analitikų įvairiose diskusijose išsako paprastą tiesą: nebūtina laužti durų, spynų, bandyti parinkti reikiamus raktus, ieškoti pažeidžiamumų programinėje ar aparatinėje įrangoje ar visa tai aprašančiose technologijose. Paprasčiau įsilaužti į saugomas sistemas, pasinaudojant socialinės inžinerijos metodais.

Viskas taip paprasta, kaip du kart du: galima paskambinti darbuotojui, kuris žino slaptažodį, ir apgaulės būdu išpešti reikiamą informaciją. Galima tiesiog pasinaudoti žmogaus patiklumu. Arba pasirausti iš biuro išmetamose šiukšlėse. Galima netgi pasinaudoti termorektalinės kriptografijos metodu (taip juokais vadinamas fizinis ir psichologinis spaudimas reikiamo žmogaus atžvilgiu). Jei jis žino tai, ko mums reikia, galų gale jis visa tai pasakys, nori jis to ar nenori.

Prisiminti, bet nežinoti

Rodos, dar visai neseniai ši problema buvo neišsprendžiama. Tačiau sprendimas, panašu, atsirado, kai grupė amerikiečių mokslininkų (D. Sanchezas, P. Reberis, H. Bojinovas, D. Bonehas ir P. Lincolnas) publikavo savo naują darbą, kuriame demonstruojamas, rodos, mokslinės fantastikos vertas dalykas: pasirodo, žmogų galima priversti prisiminti slaptažodį, kurio jis niekada negalės išduoti.

Mokslininkai pasirinko užslėpto mokymosi mechanizmą. Skirtingai nuo akivaizdaus mokymosi, kai mes, pavyzdžiui, kremtame knygas mokyklose ar universitetuose, slapto mokymosi metodas siūlo patirtį kaupti klaidų ir bandymų būdu, žmogui to nepastebint.

Ką tai reiškia ir kaip tai vyksta? Prisiminkite, kaip mokėtės važiuoti dviračiu, ir viskas bus žymiai aiškiau. Ta informacija, duomenys, gebėjimai, kurie buvo gauti tokio mokymosi metu, saugomi tose smegenų zonose, kurios atskirtos nuo suvokiamų faktų atminties. Taigi, jūs negalite žodžiais apibūdinti, kaip važiuodami dviračiu išlaikote pusiausvyrą. Šis mechanizmas tiriamas jau dešimtmečius ir mokslininkai ne pirmą kartą susimąsto, kaip jį panaudoti, pašalinant slaptažodžių apsaugos silpnąsias vietas. Tačiau būtent minėta amerikiečių mokslininkų grupė sugebėjo mokslo pasiekimus perteikti praktinio algoritmo forma, kuri gali būti panaudota realiame gyvenime.

Tai, ką jie atliko, iš pirmo žvilgsnio atrodo labai paprasta: mokslininkai sukūrė žaidimą (jį galima pažaisti, pasinaudojus šia nuoroda). Jame pamatysite šešias stiklines, į jas krenta rutuliukai, o žaidėjas turi reikiamu momentu suspėti spustelėti stiklinę atitinkantį klaviatūros mygtuką (S, D, F ir t. t.). Iš pirmo žvilgsnio tai gali priminti daugeliui žinomą „Guitar Hero" žaidimą. Skirtumas tas, kad nėra pačios gitaros.

Žaidimas trunka nuo 30 minučių iki valandos, rutuliukai krenta atsitiktine tvarka. Tačiau paslaptis slypi tame, kad viskas atsitiktinai vyksta tik iš pirmo žvilgsnio. Iš tikrųjų, pačiam vartotojui net nepastebint, daugiau nei šimtą kartų per žaidimą rutuliukai pradeda kristi tam tikra seka, kuri atitinka tam tikrą raidžių rinkinį. Užsirašęs tuo metu spaudžiamus mygtukus, žmogus pamatytų prasmės neturinčią 30 simbolių kombinaciją. Ir nori jis to ar ne, tačiau žaidimui pasibaigus, ši kombinacija jau tupi jo smegenyse!

Žaidėjas negali prisiminti šios kombinacijos – nei visos, nei dalimis. Jis nieko nepajus (nebus kažko panašaus į „aš jau tai kažkur mačiau!“), jei jam parodytume šią kombinaciją, užrašytą ant popieriaus. Ir vis tik, jei dabar žmogų vėl pasodintume prie šio žaidimo ir vėl pradėtų kristi rutuliukai atitinkama seka, jis įveiktų žaidimą greičiau, nei tuomet, kai tik mokėsi jį žaisti. Jis sąmoningai nesuvokia savo patirties, tačiau pirštai prisimena, kaip reikia reaguoti konkrečiu atveju. Ir statistika tai puikiai įrodo (žaidėjas atliks mažiau klaidų).

Grįžtant apie analogiško „Guitar Hero“, rezultatą galima paaiškinti taip: išmoktą melodiją sugrosime geriau.

Taigi, mūsų smegenyse atsiradusi 30 simbolių kombinacija ir yra slaptažodis, kurį žmogui reikia įsiminti. Mokslininkai įrodė, kad informacija „bandomojo triušio“ galvoje išlieka mažiausiai keletą savaičių ir greičiausiai ji ten išliks daug ilgesnį laiką, jei tikėsime turimais duomenimis apie žmogaus atminties funkcionavimo mechanizmą.

Garantuoti tokį efektą galima periodiškai treniruojantis (visa tai užtruks trumpiau, nei mokymosi procesas). Patikrinimas, ar slaptažodis įsimintas, trunka apie penkias minutes.

Tobulas slaptažodis?

Amerikiečių mokslininkai savo projektą klasifikuoja kaip priklausantį elgesio biometrijos ir kognityvinės psichologijos sritims. Nereikia būti šių sričių specialistu, kad suprastum, jog namų kompiuterių apsaugai panaši apsauga bus itin sudėtinga.

Tyrimo autoriai mano, kad visa tai galima panaudoti ypač svarbių objektų apsaugai, pavyzdžiui, atominėse elektrinėse ar karinės paskirties objektuose. Antra vertus, žinant tai, jog šiais laikais ir finansų sistema gali sukelti katastrofiškus padarinius, projektu gali susidomėti ir privačios bendrovės. Juk toks mokymas ne tik leidžia „įkalti“ į galvą jokios prasmės neturinčią simbolių kombinaciją (netgi ir labai norėdami, vargu ar sąmoningai imsite tai daryti), bet ir garantuoja, jog žinantis tokį slaptažodį žmogus niekada jo neišduos.

Galime įsivaizduoti, kad su tokiu mokslininkų sukurtu treniruokliu pasitreniravusį darbuotoją pagrobia nusikaltėliai. Kaip ištraukti iš jo slaptažodį? Fizinė jėga nepadės: informacija saugoma toje smegenų zonoje, kuri atskirta nuo sąmoningai suvokiamų faktų atminties srities, todėl žmogus negalės slaptažodžio užrašyti ar jo atpažinti.

Pasodinti žmogelį prie kompiuterio, kuriame veikia treniruoklio kopija? Taip pat beviltiška, kadangi slaptažodžio žinojimo patikrinimui rutuliukai turėtų kristi tam tikra seka. Kitais žodžiais tariant, žaidimas turi žinoti, kokią melodiją sugroti, kad būtų galima patikrinti žaidėjo reakciją. Taigi, reikėtų ne tik pagrobti žmogų, bet ir gauti prieigą prie jo kompiuterio. Tačiau norint prisijungti – reikia slaptažodžio.

Dar daugiau, jei vis tik nusikaltėliams pavyktų pasodinti darbuotoją prie tarnybinio kompiuterio, yra teorinė galimybė atpažinti (atsižvelgiant į mygtukų paspaudimo stilių), ar žmogus yra veikiamas prieš savo valią.

Aišku, klausimų vis dar daugiau, nei atsakymų. Kaip ilgai be pakartotinių treniruočių vartotojas galės atkurti slaptažodį? Kaip greitai auga klaidų skaičius? Ar galima sutrumpinti mokymosi laiką, nepakenkiant slaptažodžio stiprumui? Juo labiau ar ilgai toks metodas bus konkurencingas, kai pasirodys kitos technologijos, pavyzdžiui, IBM kuriama multifaktorinė biometrija, kuri jau po penkerių metų gali pakeisti slaptažodžius, kuriuos prisiminsime tik kaip naktinį košmarą. Aišku, ir „Mėlynojo giganto“ siūlomas variantas nėra idealus: juk mes patys tampame slaptažodžiu, kurio niekada nebepakeisime.

Tad eilinį kartą tenka konstatuoti: idealaus slaptažodžio paieškos tęsiasi, o šis mokslininkų darbas – įdomus žingsnis srityje, kurioje mokslo žmonės suka galvas ne vieną dešimtmetį.

   

Facebook komentarai