Internet Security: Varför dina interna tankar kan bli ditt nästa lösenord

Din hjärna är en outtömlig källa till säkra lösenord - men du kanske inte behöver komma ihåg något. Lösenord och PIN-kod med bokstäver och siffror är relativt, enkelt hackade, svåra att komma ihåg, och vanligtvis osäkra. Biometrics börjar ta plats, med fingeravtryck, ansiktsigenkänning och näthinnarsökning blir vanliga även i rutinmässiga inloggningar för datorer, smartphones och andra vanliga enheter.

De är säkrare eftersom de är svåra att förfalska, men biometri har ett viktigt sårbarhet: En person har bara ett ansikte, två retina och 10 fingeravtryck. De representerar lösenord som inte kan återställas om de äventyras.

Som användarnamn och lösenord är biometriska referenser sårbara för dataöverträdelser. År 2015 bryts exempelvis databasen med fingeravtryck på 5,6 miljoner amerikanska federala anställda. Dessa personer bör inte använda sina fingeravtryck för att säkra alla enheter, vare sig de är personliga eller på jobbet. Nästa brott kan ställa fotografier eller näthinnans skanningsdata, vilket gör de biometriska värdena värdelösa för säkerhet.

Vårt team har arbetat med medarbetare vid andra institutioner i åratal och har uppfunnit en ny typ av biometriska som båda är unikt knutna till ett enda människa och kan återställas om det behövs.

Inne i sinnet

När en person tittar på ett fotografi eller hör ett musikstycke, svarar hennes hjärna på sätt som forskare eller sjukvårdspersonal kan mäta med elektriska sensorer placerade på hårbotten. Vi har upptäckt att varje persons hjärna svarar annorlunda mot en yttre stimulans, så även om två personer ser på samma fotografi, kommer läsningar av deras hjärnaktivitet att vara annorlunda.

Denna process är automatisk och omedvetet, så en person kan inte kontrollera vilket hjärnrespons som händer. Och varje gång en person ser ett foto av en viss kändis, reagerar sin hjärna på samma sätt - men annorlunda än alla andras.

Vi insåg att det här är en möjlighet för en unik kombination som kan fungera som det vi kallar "hjärnlösenord". Det är inte bara en fysisk egenskap hos kroppen, som ett fingeravtryck eller mönstret av blodkärl i näthinnan. I stället är det en blandning av personens unika biologiska hjärnstruktur och deras ofrivilliga minne som bestämmer hur det reagerar på en viss stimulans.

Gör ett hjärnlösenord

En persons hjärnlösenord är en digital läsning av sin hjärnaktivitet medan man tittar på en serie bilder. Precis som lösenord är säkrare om de innehåller olika typer av tecken - bokstäver, siffror, och skiljetecken - ett hjärnlösenord är säkrare om det innehåller hjärngolfläsning av en person som tittar på en samling olika bilder.

För att ställa in lösenordet skulle personen vara autentiserad på annat sätt - till exempel att komma till arbete med ett pass eller annat identifierande pappersarbete, eller ha fingeravtryck eller ansiktskontroll mot befintliga poster. Då skulle personen lägga på en mjuk bekväm hatt eller vadderad hjälm med elsensorer inuti. En bildskärm skulle visa till exempel en bild av en gris, Denzel Washingtons ansikte och texten Ring mig Ishmael, den inledande meningen av Herman Melvilles klassiker, Moby Dick.

Sensorerna skulle registrera personens hjärnvågor. Precis som när man registrerar ett fingeravtryck för en iPhones Touch ID, skulle flera avläsningar behövas för att samla in en fullständig första post. Vår forskning har bekräftat att en kombination av bilder som denna skulle framkalla brainwave-avläsningar som är unika för en viss person och konsekvent från ett inloggningsförsök till en annan.

Senare, för att logga in eller få tillgång till en byggnad eller ett säkert rum, skulle personen lägga på hatten och titta på sekvensen av bilderna. Ett datorsystem skulle jämföra sina hjärnvågor vid det ögonblicket till det som lagrats i början - och ge antingen tillgång eller neka det, beroende på resultaten. Det tar ungefär fem sekunder, inte mycket längre än att ange ett lösenord eller skriva in en PIN-kod i en knappsats.

Efter en hacka

Hjärnlösenordets verkliga fördel kommer in i spel efter det nästan oundvikliga hack av en inloggningsdatabas. Om en hacker bryts in i systemet som lagrar biometriska mallar eller använder elektronik för att förfalska en persons hjärnsignaler, är den här informationen inte längre användbar för säkerhet. En person kan inte ändra sitt ansikte eller sina fingeravtryck - men de kan ändra sitt hjärnlösenord.

Det är lätt att autentisera en persons identitet på ett annat sätt och få dem att ange ett nytt lösenord genom att titta på tre nya bilder - kanske den här gången med ett foto av en hund, en ritning av George Washington och ett Gandhi-citat. Eftersom de är olika bilder från det ursprungliga lösenordet, skulle brainwave-mönstren vara annorlunda också. Vår forskning har visat att det nya hjärnlösenordet skulle vara mycket svårt för angripare att räkna ut, även om de försökte använda de gamla hjärnvågläsningarna som ett hjälpmedel.

Hjärnlösenord är oändligt återställbara, eftersom det finns så många möjliga foton och ett stort antal kombinationer som kan göras från dessa bilder. Det finns inget sätt att rinna ut ur dessa biometriska förbättrade säkerhetsåtgärder.

Säkert - och säkert

Som forskare är vi medvetna om att det kan vara oroande eller till och med skrämmande för en arbetsgivare eller internettjänst att använda autentisering som läser människors hjärnaktivitet. En del av vår forskning handlade om att ta fram hur man tar endast lägsta antal avläsningar för att säkerställa tillförlitliga resultat - och korrekt säkerhet - utan att behöva så många mätningar som en person kan känna sig kränkt eller oroad över att en dator försökte läsa.

Vi försökte ursprungligen använda 32 sensorer över en persons huvud och fann resultaten var pålitliga. Sedan reducerade vi gradvis antalet sensorer för att se hur många som verkligen behövdes - och fann att vi kunde få tydliga och säkra resultat med bara tre riktigt placerade sensorer.

Det betyder att vår sensor enhet är så liten att den kan passa osynligt inuti en hatt eller ett virtuellt verklighetshuvud. Det öppnar dörren för många möjliga användningsområden. En person som bär smart huvudbonader kan till exempel enkelt låsa upp dörrar eller datorer med hjärnlösenord. Vår metod kan också göra bilar svårare att stjäla - innan du startar upp, måste föraren behöva lägga på en hatt och titta på några bilder som visas på instrumentbrädan.

Andra vägar öppnas när nya teknologier framträder. Den kinesiska e-handelsgiganten Alibaba presenterade nyligen ett system för att använda virtuell verklighet för att handla för varor - inklusive att göra inköp på nätet direkt i VR-miljön. Om betalningsinformationen är lagrad i VR-headsetet kommer alla som använder den, eller stjäl den, att kunna köpa allt som är tillgängligt. Ett headset som läser användarens hjärnvågor skulle göra inköp, inloggningar eller fysisk åtkomst till känsliga områden mycket säkrare.

Denna artikel publicerades ursprungligen på The Conversation av Wenyao Xu, Feng Lin och Zhanpeng Jin. Läs den ursprungliga artikeln här.