Sistema de aprendizado e autenticação lembra o game Guitar Hero (Fonte da imagem: Hristo Bojinov)
A escolha de uma senha e a sua técnica de memorização podem ser as ruínas de um sistema de segurança. Muitos, por exemplo, já tiveram computadores e perfis de redes sociais invadidos por conta de uma palavra-chave fácil demais ou por tê-la anotado em um papel e largado em cima da mesa. Mas agora cientistas desenvolveram uma forma de memorização que trabalha com o subconsciente humano, evitando que o segredo seja extraído até mesmo à base de tortura.
O grande diferencial dessa técnica é o fato de que a pessoa não conhece a senha memorizada, mas apenas uma maneira "mecânica" de acessá-la. Ela não conseguiria, por exemplo, escrevê-la ou soletrá-la para alguém, e isso porque a pessoa decorou a senha inconscientemente, por um processo conhecido como aprendizado implícito.
Como decorar senhas com um jogo?
O sistema, desenvolvido pelo pesquisador Hristo Bojinov, da Universidade de Stanford, usa um jogo parecido com o Guitar Hero — sucesso da Harmonix disponível para diversos consoles — que pode ser conferido na imagem acima. Nele, o “jogador” deve usar as teclas S, D, F, J, K e L para pressionar a “nota” certa quando um círculo chegar na parte inferior da tela.
Durante uma sessão de 45 minutos, uma pessoa pressiona as teclas cerca de 4 mil vezes e 80% dessa atividade é responsável por fazer com que ela aprenda uma senha de 30 caracteres gerada aleatoriamente. Isso faz com que o password memorizado tenha 38 bits de entropia, tornando-o milhares ou milhões de vezes mais seguro do que as senhas comuns.
O treinamento na prática
(Fonte da imagem: iStock)
Durante as “partidas”, essa sequência de 30 letras é exibida para o usuário três vezes seguidas e, depois, intercalada com 18 caracteres aleatórios, totalizando 108 itens. Essa parte é repetida por cinco vezes (540 itens) e então há uma pequena pausa. O processo todo acaba sendo “jogado” mais seis vezes, totalizando 3.780 itens e “implantando” a senha na cabeça de quem estiver no controle do game.
Depois, para se autenticar, a pessoa precisa jogar mais uma partida e, dessa vez, a senha vem intercalada com outra sequência aleatória de 30 letras. Para fazer o login com sucesso, é necessário ter um desempenho melhor na sequência correta, ou seja, na palavra-chave em si. A parte boa é que, mesmo depois de duas semanas, qualquer um é capaz de lembrar a sequência correta inconscientemente.
Segurança contra torturadores
Uma das vantagens desse método é que, mesmo sendo torturada ou coagida, a pessoa não será capaz de revelar a senha. Nem mesmo em tribunais, sob a ordem de juízes ou policiais, será possível escrevê-la em um papel, já que não se sabe, de fato, qual é a palavra-chave. O artigo sobre o estudo pode ser consultado online (PDF em inglês).
Fonte: bojinov.org (PDF em inglês), ExtremeTech
Categorias