Neurocientíficos y criptógrafos de la Universidad de Stanford y Northwestern han desarrollado un sistema que elimina la parte más débil de un sistema de seguridad: el usuario. El sistema requiere que el usuario introduzca una contraseña que no recordara conscientemente, lo que significa que no necesita ser escrita y que, además, no puede ser obtenida por métodos coercitivos o de tortura.
El sistema se basa en el aprendizaje implícito, un proceso por el que una persona absorbe nueva información pero no es consciente de que lo está haciendo, es algo así como aprender a montar en bicicleta. Explicado de forma sencilla, el sistema enseña al usuario la contraseña a una parte del cerebro a la que no se puede acceder de forma consciente, esta se mantiene en el subconsciente, esperando a ser tecleada.
El proceso de aprendizaje de esta contraseña requiere el uso de una computadora que reproduce una especie de juego que recuerda a Guitar Hero y el uso de 6 teclas: S, D, F, J, K, L que deben ser pulsadas cuando un círculo llega a la parte inferior de la pantalla. Durante una sesión de entrenamiento de unos 45 minutos, el usuario realiza aproximadamente unas 4.000 pulsaciones de tecla, el 80% de esas pulsaciones de tecla se usan para enseñar al subconsciente una contraseña de 30 caracteres.
Una vez entrenado el usuario, los resultados del experimento sugieren que las contraseñas de 30 letras están firmemente implantadas en el inconsciente del usuario. La autenticación requiere entrar al juego pero en esta ocasión, al autentificarse, la secuencia de 30 letras está mezclada con otras 30 secuencias de letras. Para pasar la autenticación, debes haber realizado tu contraseña de una forma mucho más fiable que el resto de secuencias de 30 letras, porque a todos los efectos, tu cerebro es capaz de ofrecer mejores resultados de forma inconsciente ante un patrón que reconoce. Incluso después de dos semanas, aparentemente el usuario es capaz de recordar inconscientemente esa secuencia.
El aspecto más importante de este trabajo es que establece una nueva forma primitiva de criptografía que elimina el problema de la obtención de contraseñas vía tortura o coerción. Simplemente es imposible obtenerlas, ya que su introducción funciona vía un patrón cerebral inconsciente.
El trabajo se presentara el 8 de agosto en el Simposio USENIX de Seguridad en Bellevue, Washington.
Referencias: NewScientist y PDF Bojinov