211service.com
Cómo hacer contraseñas que no puedan ser comprometidas por tortura o coerción
La protección de la información se ha convertido en una de las tareas más importantes y significativas de la sociedad moderna. Mucha gente se ha acostumbrado a memorizar contraseñas y números PIN, a veces de una complejidad desconcertante. Otros usan indicadores biométricos para la protección: huellas dactilares, iris y similares pueden ayudar a identificar a las personas.
Pero estos sistemas no son perfectos. Un problema importante es la amenaza de coerción: verse obligado a revelar una contraseña o colocar un dedo en el escáner de huellas dactilares.
Hoy, Max Wolotsky de Cal Poly Pomona y un par de amigos han ideado una solución que puede determinar si una persona está siendo coaccionada y negar la autenticación como resultado.
El sistema es simple en concepto. La idea de Wolotsky y compañía es usar los niveles de estrés del cuerpo para determinar si están siendo coaccionados de alguna manera. Y lo hacen midiendo la respuesta del individuo a la música relajante que previamente identificaron como relajante.
La música chill se llama así porque provoca un escalofrío en la columna, una respuesta que es similar a tener frío. Son los efectos fisiológicos de este escalofrío los que Wolotsky y sus colegas se propusieron medir monitoreando los latidos del corazón y los patrones de ondas cerebrales.
Su hipótesis es que estas señales son imposibles de falsificar y solo posibles de medir cuando el sujeto está relajado. Cualquier coacción daría como resultado una señal diferente.
Para averiguar si este es el caso, el equipo pidió a cinco sujetos de prueba que eligieran su pieza de música relajante favorita y luego monitorearon sus latidos cardíacos y ondas cerebrales mientras escuchaban.
En particular, el equipo se centró en los momentos dentro de la música que desencadenan la respuesta de escalofríos asumiendo que esto siempre ocurre en el mismo punto de la partitura. Esta sección de la música, menos de un minuto más o menos, se convierte en la clave del proceso de autenticación.
La idea es que si el sujeto está relajado, pueda experimentar el escalofrío en el futuro y reproducir las señales fisiológicas asociadas a este.
De hecho, el equipo llevó a cabo una serie de pruebas y descubrió que sus sujetos podían pasar la prueba con una tasa de éxito del 90 por ciento.
Hay algunas advertencias, por supuesto. El equipo no pudo probar la respuesta de sus sujetos bajo ningún tipo de estrés para simular el tipo de coerción que esta prueba está diseñada para frustrar. Una de las razones por las que no hicimos esto es porque no es ético amenazar a los sujetos de prueba para verificar que nuestro sistema es totalmente resistente a la coerción, ya que podría dejar a los sujetos con daños físicos o psicológicos permanentes, dicen.
Esa es una limitación significativa. Si el equipo no ha comprobado que funciona en las condiciones para las que está diseñado, ¿cómo puede estar seguro de que es seguro? También hay otros problemas potenciales. Es probable que la información que podría beneficiarse de este tipo de mayor protección sea enormemente valiosa, como los códigos de lanzamiento de armas nucleares, tal vez. (Uno de los autores trabaja en Sandia National Laboratories, que es responsable de la gestión de reservas nucleares).
Pero el acceso urgente a este tipo de información solo puede ser necesario en momentos de gran estrés, y esto podría invalidar la prueba. La idea de que alguien intente acceder a los códigos de lanzamiento mientras se desarrolla la Tercera Guerra Mundial, pero tenga que relajarse de antemano, tiene algo de comedia negra.
No obstante, el desarrollo de contraseñas resistentes a la coerción es un objetivo importante. Wolotsky y compañía han tomado algunos pasos tentativos que otros pueden aprovechar.
Ref: http://arxiv.org/abs/1605.01072: Chill-Pass: uso de respuestas neurofisiológicas a música relajante para derrotar ataques de coerción