З 2009 року агенти митної служби та охорони кордонів США дозволено здійснювати пошук електронних пристроїв carried громадянами або негромадяни, коли вони перетинають кордон із США з інших країн. Зовсім недавно міністр внутрішньої безпеки Джон Келлі запропонував включити цю цифрову перевірку збирання паролів у соціальних мережах. Пропозиція Келлі спонукала експертів з юридичних та технологічних питань відповісти відкритий лист висловлюючи глибоке занепокоєння будь-якою політикою, яка вимагає від осіб порушувати "перше правило онлайн-безпеки": Не повідомляйте свої паролі.

Самі мандрівники теж відгукнулись шукає способів уникнути здачі паролів своїх пристроїв федеральним агентам. Один із підходів - те, що ми можемо назвати методом «Нічого тут не бачити» - намагається зробити пристрій недоступним для пошуку стирання жорсткого диска перед поїздкою, видаляючи програми соціальних мереж, дозволяючи розряджати заряд акумулятора на пристрої або навіть витираючи пристрій, якщо є аварійний або “примусовий” пароль було введено.

Підхід "Я б хотів виконати, але я не можу" передбачає екзотичні рішення, такі як встановлення двофакторної автентифікації на пристрої чи в обліковому записі соціальних мереж, а потім створення другого фактора (наприклад, парольного коду або цифрового ключа) доступно лише у віддаленому місці. Щоб отримати другий фактор, потрібен ордер і виїзд за кордон.

Ці методи небезпечні тим, що ставлять мандрівника, який уже зазнав стресу, у позицію кинути виклик правоохоронцям на кордоні, правове середовище, призначене для підтримки уряду а не мандрівник. Правильне виконання цієї поради також вимагає ретельного виконання технічних навичок, якими не володіє більшість мандрівників. І ступінь необхідного попереднього планування та підготовки може вважатися ознакою підозрілої діяльності, що вимагає більш детального контролю з боку прикордонних службовців.

Але спокусливо задатися питанням: чи могли б комп’ютерні вчені та розробники програмного забезпечення, як я, створити кращу систему паролів? Чи можемо ми зробити “Я б хотів виконати, але не можу” єдино можливою відповіддю для кожного мандрівника? Коротше кажучи, чи можемо ми створювати паролі, навіть їх власники не знають?

Пошук непізнаваного пароля

Розробка непізнаваних паролів є активною сферою досліджень безпеки. У 2012 році команда Стенфордського університету, Північно-Західного університету та дослідницького центру НДІ розробила схему використання комп’ютерної гри, подібної до «Гітарного героя» навчити підсвідомість мозку вивчати серію натискань клавіш. Коли музикант запам’ятовує, як грати музичний твір, їй не потрібно продумувати кожну ноту або послідовність. Це стає вкоріненою, навченою реакцією, яку можна використовувати як пароль, але майже неможливо навіть для музиканта прописати ноту за нотою або для користувача розкривати букву за літерою.

Крім того, система спроектована таким чином, що навіть якщо пароль виявлений, зловмисник не може вводити натискання клавіш з такою ж плавністю, як і навчений користувач. Поєднання натискань клавіш та простоти виконання однозначно пов’язує пароль із користувачем, одночасно звільняючи користувача від необхідності усвідомлювати що-небудь свідомо.

На жаль, у нашому сценарії подорожі кордоном агент може вимагати від мандрівника розблокувати пристрій чи програму, використовуючи підсвідомий пароль.

Команда з Каліфорнійського державного політехнічного університету, Помона, запропонувала інше рішення в 2016 році. Їхнє рішення називалося Chill-Pass, вимірює унікальну реакцію хімії мозку на людину, слухаючи її розслаблюючу музику. Ця біометрична реакція стає частиною процесу входу користувача. Якщо користувач перебуває під примусом, він не зможе розслабитися, щоб відповідати своєму попередньо виміряному стану "охолодження", і вхід не вдасться.

Неясно, чи зможуть агенти CBP перемогти таку систему, як Chill-Pass, забезпечивши мандрівників, скажімо, масажними кріслами та спа-процедурами. Незважаючи на це, стрес у повсякденному житті робить недоцільним регулярне використання такого роду паролів. Система, що базується на релаксації, буде найбільш корисною для людей, які виконують місії з високими ставками, де вони бояться примусу.

І подібно до інших планів унеможливити контроль CBP, це може в підсумку привернути більше уваги до мандрівника, а не заохочувати офіцерів здатися і перейти до наступної людини.

Чи можете ви оцінити безпеку?

У 2015 році компанія Google оголосила Проект Abacus, ще одне рішення проблеми "Я б хотів виконати, але я не можу". Він замінює традиційний пароль на "Оцінку довіри", власний коктейль характеристик, який, як визначив Google, може вас ідентифікувати. Оцінка включає біометричні фактори, такі як ваші типи друку, швидкість ходьби, голосові малюнки та міміка. Він може включати ваше місцезнаходження та інші невстановлені елементи.

Калькулятор Trust Score постійно працює у фоновому режимі смартфона чи іншого пристрою, оновлюючи нову інформацію та перераховуючи рахунок протягом дня. Якщо показник довіри опускається нижче певного порогу, скажімо, спостерігаючи за дивною схемою друку або незнайомим місцем розташування, система вимагатиме від користувача введення додаткових даних автентифікації.

Незрозуміло, як автентифікація оцінки достовірності може вплинути на прикордонний пошук. Агент CBP все ще може вимагати, щоб мандрівник розблокував пристрій та його програми. Але якби агентство не могло відключити систему оцінки довіри, власнику телефону довелося б дозволити тримати пристрій і користуватися ним протягом перевірки агента. Якби хтось інший намагався ним скористатися, постійно перерахований показник довіри міг би впасти, виключивши слідчого.

Цей процес принаймні забезпечив би власнику телефону знання, яку інформацію федеральні агенти збирають із телефону. Це було неможливо для деяких мандрівників, що прибувають, зокрема Громадяни США і навіть державні службовці.

Але система оцінки довіри дає великий контроль в руках Google, комерційної корпорації, яка може вирішити - або може бути змушений - забезпечити уряд шляхом його подолання.

Так що тепер?

Жодне з цих технологічних рішень проблеми з паролями не є досконалим, і жодне з них сьогодні не є комерційно доступним. Поки дослідження, промисловість та інновації не знайдуть кращих, що робити подорожньому цифровому віку?

По-перше, не брешіть федеральному агенту. Це a фелония і точно приверне більше небажаної уваги слідчих.

Далі визначте, скільки незручностей ви готові терпіти, щоб мовчати або відмовлятися виконувати. Невиконання буде коштувати: Ваші пристрої можуть бути вилучені та Ваша подорож може бути серйозно порушена.

У будь-якому випадку, якщо і коли вас попросять ввести ваші ручки соціальних мереж або паролі, або щоб розблокувати ваші пристрої, зверніть увагу та запам’ятайте якомога більше деталей. Потім, якщо хочете, повідомте групу цифрових свобод про те, що це сталося. Фонд Electronic Frontier має веб-сторінку з інструкціями щодо як повідомити про пошук пристрою на кордоні.

Якщо ви вважаєте, що конфіденційні матеріали можуть бути скомпрометовані під час пошуку, повідомте про це родичів, друзів та колег, які можуть бути зачеплені. І - поки ми не з’ясуємо кращого способу - змінюйте свої паролі.

про автора

Меган Сквайр, професор обчислювальних наук, Університет Елона

Ця стаття була спочатку опублікована на Бесіда. Читати оригінал статті.

Суміжні книги

at InnerSelf Market і Amazon