Por qué no deberíamos saber nuestras propias contraseñas

Desde 2009, agentes de Aduanas y Protección Fronteriza de EE. UU. se les ha permitido buscar dispositivos electrónicos llevado a por los ciudadanos o no ciudadanos a medida que cruzan la frontera hacia los Estados Unidos desde otros países. Más recientemente, el Secretario de Seguridad Nacional John Kelly sugirió que esta verificación digital también debería incluir cosecha de contraseñas de redes sociales. La propuesta de Kelly llevó a expertos legales y tecnológicos a responder con una carta abierta expresando profunda preocupación por cualquier política que exija que las personas violen la "primera regla de seguridad en línea": no comparta sus contraseñas. La conversación

Los propios viajeros también respondieron buscando formas de evitar entregar las contraseñas de sus dispositivos a los agentes federales. Un enfoque, lo que podríamos llamar el método "Nada que ver aquí", intenta hacer que un dispositivo sea indescifrable borrar el disco duro antes de viajar, desinstalar aplicaciones de redes sociales, dejar que se agote la carga de la batería del dispositivo o incluso borrar el dispositivo si contraseña de emergencia o "coacción" fue ingresado.

El enfoque "Me encantaría cumplir, pero no puedo" implica soluciones exóticas como la instalación de autenticación de dos factores en el dispositivo o la cuenta de redes sociales, y luego hacer el segundo factor (como una contraseña o clave digital) disponible solo en una ubicación remota. Recuperar el segundo factor requeriría una orden judicial y viajar fuera del cruce fronterizo.

Estos métodos son peligrosos porque ponen a un viajero ya estresado en la posición de desafiar a las fuerzas del orden en la frontera, una entorno legal que está diseñado para apoyar al gobierno y no el viajero Seguir este consejo adecuadamente también requiere la ejecución cuidadosa de habilidades técnicas que la mayoría de los viajeros no tienen. Y el grado de planificación y preparación anticipadas requeridas podría considerarse un signo de actividad sospechosa que requiere un escrutinio más profundo por parte de los funcionarios fronterizos.

Pero es tentador preguntarse: ¿Podrían los científicos informáticos y los diseñadores de software como yo crear un mejor sistema de contraseñas? ¿Podemos hacer que "Me encantaría cumplir, pero no puedo" la única respuesta posible para cada viajero? En resumen, ¿podemos crear contraseñas incluso si sus propietarios no saben?

gráfico de suscripción interior

La búsqueda de la contraseña incognoscible

El desarrollo de contraseñas desconocidas es un área activa de investigación de seguridad. En 2012, un equipo de la Universidad de Stanford, la Universidad Northwestern y el centro de investigación SRI desarrollaron un esquema para usar un juego de computadora similar a "Guitar Hero" para entrenar el cerebro subconsciente para aprender una serie de pulsaciones de teclas. Cuando un músico memoriza cómo tocar una pieza de música, no necesita pensar en cada nota o secuencia. Se convierte en una reacción arraigada y entrenada que se puede utilizar como contraseña, pero es casi imposible incluso para el músico escribir una nota por nota, o para que el usuario la revele letra por letra.

Además, el sistema está diseñado para que, incluso si se descubre la contraseña, el atacante no pueda ingresar las teclas con la misma fluidez que el usuario capacitado. La combinación de pulsaciones de teclas y facilidad de rendimiento vincula de forma única la contraseña para el usuario, al tiempo que libera al usuario de tener que recordar cualquier cosa conscientemente.

Desafortunadamente, en nuestro escenario de viajes en la frontera, el agente puede exigir que el viajero desbloquee el dispositivo o la aplicación utilizando la contraseña subconsciente.

Un equipo de la Universidad Politécnica del Estado de California, Pomona, propuso una solución diferente en 2016. Su solución, llamada Chill-Pass, mide la respuesta química del cerebro de una persona mientras escucha su música relajante. Esta reacción biométrica se convierte en parte del proceso de inicio de sesión del usuario. Si un usuario está bajo coacción, no podrá relajarse lo suficiente como para coincidir con su estado de "enfriamiento" medido anteriormente, y el inicio de sesión fallará.

No está claro si los agentes de CBP podrían vencer a un sistema como Chill-Pass al proporcionar a los viajeros, por ejemplo, sillas de masaje y tratamientos de spa. Aun así, las tensiones de la vida cotidiana hacen que no sea práctico utilizar este tipo de contraseña regularmente. Un sistema basado en la relajación sería más útil para las personas que emprenden misiones de alto riesgo en las que temen la coacción.

Y al igual que con otros planes para hacer que el escrutinio de la CBP sea imposible, esto podría terminar atrayendo más atención hacia un viajero, en lugar de alentar a los oficiales a darse por vencidos y pasar a la siguiente persona.

¿Puedes anotar seguridad?

En 2015, Google anunció Proyecto Abacus, otra solución al problema "Me encantaría cumplir, pero no puedo". Reemplaza la contraseña tradicional con un "Nivel de Confianza", un cóctel patentado de características que Google ha determinado que puede identificarlo. El puntaje incluye factores biométricos como sus patrones de escritura, velocidad al caminar, patrones de voz y expresiones faciales. Y puede incluir su ubicación y otros elementos no especificados.

La calculadora de Puntuación de confianza se ejecuta constantemente en el fondo de un teléfono inteligente u otro dispositivo, actualizándose con nueva información y volviendo a calcular el puntaje a lo largo del día. Si el puntaje del Fideicomiso cae por debajo de un cierto umbral, digamos al observar un extraño patrón de tipeo o una ubicación desconocida, el sistema requerirá que el usuario ingrese credenciales de autenticación adicionales.

No está claro cómo una autenticación de puntuación de confianza puede afectar a una búsqueda de borde. Un agente de CBP aún podría exigir que un viajero desbloquee el dispositivo y sus aplicaciones. Pero si la agencia no podía deshabilitar el sistema Trust Score, el propietario del teléfono tendría que poder sostener el dispositivo y usarlo durante la inspección del agente. Si alguien más trató de usarlo, el puntaje de confianza que se recalcula constantemente podría caer, bloqueando a un investigador.

Ese proceso al menos garantizaría que el propietario de un teléfono supiera qué información recolectaban los agentes federales del teléfono. Eso no ha sido posible para algunos viajeros que llegan, incluyendo Ciudadanos estadounidenses e incluso empleados del gobierno.

Pero el sistema Trust Score pone mucho control en manos de Google, una corporación con fines de lucro que podría decidir, o podría ser obligado - proporcionarle al gobierno una forma de evitarlo.

Entonces, ¿qué?

Ninguna de estas soluciones tecnológicas para el problema de la contraseña es perfecta, y ninguna de ellas está disponible comercialmente en la actualidad. Hasta que la investigación, la industria y la innovación propongan mejores, ¿qué puede hacer un viajero de la era digital?

Primero, no mientas a un agente federal. Eso es un delito grave y definitivamente atraerá más atención no deseada de los investigadores.

A continuación, determine cuánto inconveniente está dispuesto a tolerar para permanecer en silencio o negarse a cumplir. El incumplimiento tendrá un costo: sus dispositivos podrían ser incautados y su viaje podría verse seriamente afectado.

De cualquier manera, si se le piden los identificadores o contraseñas de sus redes sociales, o para desbloquear sus dispositivos, preste atención y recuerde todos los detalles que pueda. Luego, si lo desea, avise a un grupo de libertades civiles digitales que esto sucedió. Electronic Frontier Foundation tiene una página web con instrucciones para cómo informar una búsqueda de dispositivo en el borde.

Si cree que los materiales confidenciales podrían haberse visto comprometidos en la búsqueda, notifique a familiares, amigos y colegas que puedan verse afectados. Y, hasta que descubramos una mejor manera, cambie sus contraseñas.

Sobre el Autor

Megan Squire, Profesor de Ciencias de la Computación, Elon University

Este artículo se publicó originalmente el La conversación. Leer el articulo original.

Libros relacionados

at InnerSelf Market y Amazon