暗号と神経心理学の専門家で構成されるスタンフォード大学とノースウェスタン大学の科学者の学際的なチームは、生体認証とパスワードの長所を組み合わせた根本的に新しい認証方法を開発しました。 ランダムなキャラクターの長いシーケンスを潜在意識に保存することができるため、拷問や催眠状態で抽出することはできません。
この方法は、毎日の大量使用を目的としていません-パスワードを無意識に覚える訓練に約45分かかります。さらに、リモートアクセスの場合は特別な利点はありません。 その主な目的は、秘密の実験室や銀行の金庫など、閉鎖されたエリアや施設へのアクセスを物理的に制御することです。
秘密の組み合わせを覚えておくために、ギターヒーローを連想させるコンピューターゲームのようなものが使用されます。 黒い円は6本の垂直トラックに沿って落ち、ユーザーは6本のキーのいずれか(S、D、F、J、K、またはL)が下に達したときに押す必要があります。 (このサイトでは 、科学者がMechanical Turkを使用して実験していたゲームをライブで試すことができます)。 円は十分に速く落ちるので、必要なボタンを押すことですべてのプレーヤーの注意を引きます。 ゲームの45分で、ユーザーは約4000回ボタンを押します。 これらのタップの80%は、30文字のシークレットシーケンスのトレーニングに使用されます。 20%はランダムであり、脳が意識レベルで組み合わせを記憶するのを防ぐのに役立ちます。
認証するには、同じゲームを数分間プレイする必要があります。このゲームでは、同じ組み合わせにランダムなキャラクターが加わります。 正しいシーケンスのトレーニングを受けたユーザーは、ランダムな文字セットよりも10〜15%優れた結果を示します。 これは、行動バイオメトリクス方式(キーボードでの通常のテキスト入力、歩行、および認証のための他の通常のアクションの使用)を連想させますが、2つの重要な利点があります。
人は通常のアクションを毎日実行します;ビデオに記録したり、キーロガーを使用して分析したり、模倣したりすることができます。 しかし、潜在意識に保存されている秘密の組み合わせを見つけることは不可能であり、攻撃者のローカルコンピューターにゲームのコピーを持っていることさえあります。 ユーザーに何度も何度もプレイさせることができますが、希望する組み合わせが提示されるまで、ユーザーは知識を示すことができません。
もちろん、統計的手法を使用して部分的に組み合わせを抽出し、他よりも少しうまく機能する短いシーケンスを選択して組み合わせることは理論的には可能ですが、1週間以上かかります(1週間ではない場合)。 そして、この方法の2番目の利点があります。 正しいシーケンスを覚えるのに45分かかりました。 攻撃者がパッチを当てたゲームがシーケンスを推測しようとしている場合、さらに数時間プレイすると、同じ断片、おそらく正しい断片がほぼ間違いなく忘れられることを意味し、脳は古い組み合わせを忘れます
メソッドの同じ機能により、生体認証では達成できない柔軟性が現れます。 網膜のパターン、指紋、声または歩行とは異なり、組み合わせはいつでも変更できます。
ここに、メソッドの詳細な説明とHackerNewsでの議論に関するPDFリンクがあります。