自分のパスワードを知ってはいけない理由

: By エロン大学ミーガンスクワイア

ご覧いただきありがとうございます InnerSelf.com、どこに〜がある 20,000+ 「新しい態度と新しい可能性」を促進する人生を変える記事。すべての記事は次のように翻訳されます 30以上の言語. ニュースレター登録 週刊発行の InnerSelf Magazine と Marie T Russell's Daily Inference に掲載されています。 InnerSelfマガジン 1985年から出版されています。

なぜ私たちは自分のパスワードを知ってはならないのですか

2009、米国税関と国境保護エージェント電子機器の検索を許可されている実施市民による彼らが他の国々から米国との国境を越えていく中で、最近では、ジョン・ケリー国土安全保障長官は、このデジタル査定には、ソーシャルメディアのパスワードを収穫する。ケリーの提案は法律と技術の専門家に公開書簡個人が「オンラインセキュリティの第1のルール」に違反することを要求するポリシーに関する深い懸念を表明する：あなたのパスワードを共有しないでください。

旅行者自身も、デバイスのパスワードを引き渡さないようにする方法を探している連邦機関に 1つのアプローチ - 私たちが "ここには何も見ない"という方法 - デバイスを見分けがつかないようにしようとする旅行前にハードドライブを消去する、ソーシャルメディアアプリをアンインストールしたり、デバイスのバッテリ残量をなくしたり、緊急または「強迫」パスワード入力されました。

「準拠したいが、私はできない」アプローチは、デバイスやソーシャルメディアのアカウントに二要素認証をインストールしてから、第2の要因（パスコードやデジタルキーなど）を作るなど、遠隔地でのみ利用可能。第2の要因を取り戻すには、令状が必要で、国境を越えて移動する必要があります。

これらの方法は、すでに強調されている旅行者を国境の法執行機関を無視する立場に置くため、危険である。政府を支援するための法的環境旅行者ではありません。このアドバイスを正しく実行するには、ほとんどの旅行者にはない技術スキルを慎重に実行する必要があります。また、必要な事前計画と準備の程度は、それ自体が国境当局によるより詳細な調査を必要とする疑わしい活動の兆候と考えられるかもしれない。

しかし、私のようなコンピュータ科学者やソフトウェアデザイナーが、より良いパスワードシステムを作り出すことができるのだろうかという疑問が湧いてきます。すべての旅行者にとって唯一の可能な答えは「私は守ることが大好きですが、できません」とすることができますか？つまり、所有者が知らなくてもパスワードを作成できますか？

知られていないパスワードの検索

認識できないパスワードを開発することは、セキュリティ研究の活発な分野です。 2012では、スタンフォード大学、ノースウェスタン大学、SRI研究センターのチームが、「ギターヒーロー」に似たコンピュータゲームを使用するスキームを開発しました。潜在意識の脳を訓練して一連のキーストロークを学ぶ。音楽家が音楽の演奏方法を覚えているときは、各音符やシーケンスについて考える必要はありません。これはパスワードとして使用可能な込み入った訓練された反応になりますが、ミュージシャンが注意書きで綴ることやユーザーが手紙で文字を開示することはほとんど不可能です。

さらに、パスワードが発見されたとしても、攻撃者は訓練されたユーザーと同じ流動性でキーストロークを入力できないように設計されています。キーストロークとパフォーマンスの容易さの組み合わせは、パスワードをユーザーに一意に結びつけ、ユーザーが意識的に何かを覚えていなくてもよいようにします。

残念なことに、私たちの国境旅行シナリオでは、旅行者が潜在的なパスワードを使用してデバイスまたはアプリケーションのロックを解除するよう要求することができます。

California State Polytechnic University（Pomona）のチームが、2016のさまざまなソリューションを提案しました。彼らの解決策は、チルパス彼女の選択したリラックスした音楽を聞きながら、個人のユニークな脳化学反応を測定します。このバイオメトリック反応は、ユーザーのログインプロセスの一部になります。ユーザーが強迫している場合、彼女は以前に測定された "冷ややかな"状態に一致するほどにはリラックスできず、ログインは失敗します。

旅行者にマッサージチェアやスパトリートメントを提供することで、CBPエージェントがチルパスのようなシステムを破ることができるかどうかは不明です。それでも、日常生活のストレスは、この種のパスワードを定期的に使用することは実際的ではありません。リラクゼーションに基づくシステムは、強奪を恐れる重要なミッションを遂行する人々にとって最も有用です。

そして、CBPの精査を不可能にする他の計画と同じように、これは、役員があきらめて次の人に移動することを奨励するのではなく、旅行者にもっと注意を引きつけることになるかもしれない。

あなたはセキュリティを獲得できますか？

2015で、Googleが発表プロジェクトアバカス、 "私は遵守するのが大好きだが、私はできない"という問題に対するもう一つの解決策です。これは、従来のパスワードを、Googleがあなたを識別できると判断した独自の特性の「信頼スコア」で置き換えます。スコアには、入力パターン、歩行速度、音声パターン、表情などのバイオメトリックファクタが含まれます。また、あなたの所在地やその他の不特定の要素も含めることができます。

信用度計算ツールは、常にスマートフォンやその他のデバイスのバックグラウンドで実行され、新しい情報で更新され、1日を通してスコアが再計算されます。信頼スコアが特定のしきい値を下回った場合、たとえば、不思議な入力パターンやよく知られていない場所を観察するなどして、ユーザーは追加の認証資格情報を入力する必要があります。

トラストスコア認証が境界検索にどのように影響するかは不明です。 CBPエージェントは、引き続き旅行者にデバイスとそのアプリのロックを解除するよう要求することができます。しかし、代理店がトラスト・スコア・システムを無効にできない場合、電話の所有者は、装置を持ち、代理店の検査中にそれを使用する必要があります。他の誰かがそれを使用しようとすると、常に再計算されたトラストスコアが低下し、調査官がロックアウトされる可能性があります。

そのプロセスは、少なくとも、電話の所有者が、連邦機関の代理店が電話から収集している情報を知っていることを保証することになります。到着する旅行者の中にはこれが可能ではありませんでした。米国市民、さらには公務員.

しかし、トラスト・スコア・システムは、決定することができる営利企業であるGoogleの手に多大な支配権を与えている。強制される - 政府にそれを回避する方法を提供する。

んで、どうする？

パスワードの問題に対するこれらの技術的解決策はどれも完璧ではなく、現在市販されているものはありません。研究、産業、革新がより良いものになるまで、デジタル時代の旅行者は何をしていますか？

まず、連邦政府の代理人に嘘をつけないでください。それは重罪確かに研究者からのより多くの望ましくない注目を集めるでしょう。

次に、あなたが黙っているか、遵守を拒否するためにどれだけの不都合があるかを判断してください。違反した場合、費用が発生します：あなたの端末が押収され、あなたの旅行が大きく混乱する可能性があります。

いずれにしても、ソーシャルメディアのハンドルやパスワードの入力を求められた場合、またはデバイスのロックを解除する場合は、注意を払い、可能な限り詳細を覚えておいてください。そして、あなたが望むなら、これが起こったというデジタル市民自由勢力のグループに警告してください。電子フロンティア財団には、国境でのデバイス検索の報告方法.

機密情報が検索で漏洩した可能性があると思われる場合は、影響を受ける可能性のある家族、友人、同僚に通知してください。そして、より良い方法を見つけるまでパスワードを変更してください。