אבטחת המחשבים של המחר: בלי סיסמאות, עם זיהוי אישי - ברשת - הארץ

אבטחת המחשבים של המחר: בלי סיסמאות, עם זיהוי אישי

הממשל האמריקאי חותר לפיתוח תוכנות אבטחה חדשניות, שלא יכבידו על המשתמש

שתפו כתבה במיילשליחת הכתבה באימייל
רנדל סטרוס, ניו יורק טיימס

משרד ההגנה האמריקאי עובד על פיתוח כלים מתקדמים לאבטחת מחשבים, שלא יתבססו על הקלדת סיסמאות אלא על זיהוי ומעקב אחר אופן ההקלדה והזזת העכבר הייחודיים לכל משתמש. את עיקר המחקר בתחום מרכזת הסוכנות האמריקאית לפרויקטים מתקדמים של מחקר בתחום ההגנה (DARPA), שהודיעה כי תממן פרויקטים לפיתוח תוכנות כאלה. לדברי הסוכנות, הכפופה למשרד ההגנה, שיטות אבטחה מסוג זה יהיו בטוחות יותר, ולא ידרשו כל מאמץ מצד המשתמש.

בכוונת הממשל האמריקאי להעניק חסות ל"מחקר מהפכני ורב תועלת", שיהיה מיועד בראש ובראשונה לשימוש צבאי. עם זאת, טכנולוגיות שפותחו בעבר על ידי הסוכנות לפרויקטים מתקדמים הגיעו בסופו של דבר גם אל העולם האזרחי. היוזמה אינה כוללת שימוש בחיישנים לבדיקת טביעות אצבע או לזיהוי הקשתית. הכוונה היא לפתח טכנולוגיה שתתבסס רק על מאפיינים התנהגותיים המוגדרים "טביעת האצבע הקוגניטיבית".

אחד הבכירים ב-DARPA, ריצ'ארד גוידוריצי, אומר כי סיסמאות כמו TfCvBn^6tFcVbNh נחשבות "חזקות" על פי הגדרת משרד ההגנה. לדבריו, "הבעיה היא שהן לא מתאימות לדרישות של בני אנוש, שאינם בנויים להבין קשרים אקראיים בין אותיות. הייתי רוצה לעבור לעולם שבו תשבו מול המחשב, ותתחילו מיד לעבוד, כשהזיהוי שלכם יתרחש ברקע מבלי שתהיו עדים לו, ופשוט תמשיכו לעשות את עבודתכם ללא הפרעה".

עשו לנו לייק וקבלו את מיטב הכתבות והעדכונים ישירות אליכם

בימים אלה נערכים כמה מחקרים באוניברסיטאות ברחבי ארצות הברית, לפיתוח שיטות לזיהוי משתמשים המבוססות על התנהגות מול המחשב. רוי מקסיון, פרופסור למדעי המחשב מאוניברסיטת קארנגי מלון בפנסילבניה, עומד בראש מחקר על "הדינמיקה של ההקלדה על מקשי המקלדת", הבודק את משך הזמן שמשתמש לוחץ על מקש מסוים ומשך הזמן שלוקח לו לעבור ממקש אחד לאחר. השותפים למחקר מנסים לפתח תוכנה שתאבחן את אופן ההקלדה הייחודי לכל אחד, וכך תוכל לזהות פורצים הפועלים על מחשב שאינו שייך להם.

איך זה יעבוד? לחצו להגדלהצילום: טס שפלן

תנועות המבוצעות על ידי האדם אין ספור פעמים נעשות באמצעות שליטה מוטורית, ולא על ידי מחשבה מכוונת. "לכן חיקוי מוצלח של דינמיקת ההקלדה של אדם מסוים הוא כמעט בלתי אפשרי מבחינה פיזיולוגית", אומר פרופ' מקסיון. לחיזוק דבריו הוא מספר כי רובנו שוהים על מקש במקלדת למשך כעשירית השנייה בממוצע. "כך, אם פורץ מנסה לחקות את דפוס ההקלדה של מי שמקליד מעט מהר מהממוצע, ושוהה על מקש כ-90 אלפיות השנייה, אז עליו לנסות באופן מודע לקצר כל הקשה ב-10 אלפיות השנייה. שליטה כזאת אינה ריאלית", הוא אומר.

מקסיון אומר כי ישנן ראיות לכך שהמצב הרגשי של משתמש משפיע על קצב ההקלדה שלו. אולם כפי שבני אדם יכולים לזהות שיר מוכר גם במקצבים אחרים, או כשהוא מנוגן באיכות רעה, כך התוכנה תוכל לזהות את "המקצב היסודי" המיוחד של כל אדם, ולהבחין בו "גם מבעד לרעש של רגשות או עייפות". עם זאת, הרעיון שקיים מקצב יסוד טרם קיבל אישור בניסויים.

גם צ'רלס טאפרט, פרופסור למדעי המחשב מאוניברסיטת פייס, ערך מחקר על זיהוי משתמש לפי אופן ההקלדה שלו. המחקר התבסס על אימות זהות המשתמש ע"י התבוננות בסטודנטים שהקלידו את תשובותיהם במבחנים מקוונים. קבוצת המחקר שלו פיתחה תוכנה שמנתחת דפוסים של מידת הלחץ המופעלת על מקשי המקלדת. לדבריו, התוכנה קבעה נכונה את זהות המשתמש ב-99.5% מהמקרים.

לצד המחקרים לפיתוח שיטות אבטחה "התנהגותיות", ערך סלבטורה סטולפו, פרופסור למדעי המחשב מאוניברסיטת קולומביה בניו יורק, מחקר שמתמקד בפיתוח תוכנה שבבסיסה אמצעים פשוטים יותר לזיהוי פולשים: הצבת מסמכי דמה במחשב. "בין היתר, התוכנה מורה למשתמש להחזיק מסמך עם שם מושך כמו 'doc.כרטיסי אשראי'. הוא או היא יודעים שזה רק פיתיון, אבל פולש אינו יודע זאת ויתפתה לפתוח את המסמך הזה. כשמסמך הדמה נפתח המערכת תפעיל אזעקה ותבקש מהמשתמש לאמת את זהותו". סטולפו משווה זאת לשיחת טלפון שצרכנים מקבלים מהמחלקה למניעת הונאות בחברת כרטיסי האשראי, המבקשת מהם להזדהות.

מקסיון עובד על היבט התנהגותי נוסף לאימות זהות המשתמש: דינמיקת השימוש בעכבר. הוא מסביר כי "לכל אדם יש דרך ייחודית שבה הוא משתמש בעכבר, למשל המהירות שבה הוא מזיז את הסמן על המסך, הנתיב שבו הוא מזיז אותו וגם מידת התזזיתיות של תנועתו".

תגובות