Hệ thống xác thực khai thác giới hạn của năng lực nhận thức con người [pdf]
(users.cs.duke.edu)-
Bài báo của
vincent conitzer, giáo sư khoa học máy tính tại Carnegie Mellon -
Thông thường người ta xem giới hạn của năng lực nhận thức con người là một nhược điểm, nhưng bài viết đề xuất một khái niệm ngược lại: tận dụng chính những giới hạn đó để dùng cho các mục đích như ngăn đăng nhập trùng lặp hoặc xác thực không cần thông tin sinh trắc học.
-
Một vài ví dụ được đưa ra trong bài báo như sau
1. Hệ thống chỉ có thể vượt qua ở lần đầu bằng cách dùng bài kiểm tra ghép ảnh khuôn mặt. Khai thác điểm yếu nhận thức là con người không thể tự ý xóa ký ức.
- Cho xem hàng chục bức ảnh khuôn mặt và hỏi đó có phải là khuôn mặt được nhìn thấy lần đầu 'trong bài kiểm tra này' hay không, thì ở lần kiểm tra đầu người tham gia có thể dễ dàng trả lời đúng.
- Ở lần kiểm tra thứ hai, thay một số ảnh khuôn mặt rồi kiểm tra lại. Vì ký ức về các bức ảnh ở lần trước vẫn còn trong não nên sẽ gây nhầm lẫn, và điểm số có khả năng thấp hơn lần đầu.
- Tuy nhiên trong thí nghiệm thực tế, một số người có điểm giảm xuống, một số giữ nguyên, và một số thậm chí còn tăng điểm.
2. Xác thực từ xa không dùng thông tin sinh trắc học. Xác thực bằng trò chơi được cá nhân hóa.
-
Tạo một trò chơi có độ khó từ cấp 1 đến 10. Nếu thiết kế độ khó sao cho không thể vượt qua cấp 10 nếu không đi từng bước từ cấp 1, thì việc có thể hoàn thành cấp 10 sẽ trở thành một chỉ dấu để nhận diện cá nhân, nhờ đó có thể xác thực mà không cần dùng biometric.
-
Các ví dụ trên vẫn có thể bị hack nếu có sự trợ giúp của ghi chú, bạn bè hoặc AI, nên cần một thiết kế tinh vi hơn.
8 bình luận
Ngoài lề một chút, lâu rồi tôi mới đăng nhập lại để xác thực trên Rockstar Games, hãng làm ra GTA, thì họ bắt giải 10 câu trắc nghiệm 6 lựa chọn về hình cặp xúc xắc có tổng bằng 13. Tôi chắc chắn là mình đã làm đúng hết, nhưng vì hệ thống không hiện fail ngay giữa chừng khi sai một câu nên tôi đã thất bại 2 lần và tổng cộng phải giải 30 câu. Trời ơi, đúng là cực hình.
Trước đây tôi từng nghe ai đó nói về metacognition kể câu này: khi hỏi "Thành phố lớn thứ 7 ở Peru là thành phố nào?", nếu ai đó đi trả lời hoặc bắt đầu tìm kiếm thì chắc là bot hoặc AI. Con người chỉ mất 1 giây để biết rằng mình không biết câu trả lời. Tự nhiên lại nhớ ra.
Tôi đã thấy điều này trong một bài nói chuyện của giáo sư Kim Kyung-il. Tôi không rõ đó có phải là ý tưởng gốc của ông ấy hay là ông ấy trích dẫn từ nơi khác, nhưng hình như ông có nhắc đến nó trong một trong những bài thuyết trình trên YouTube.
Trước đây mình từng thấy hứng thú với một bài báo nghiên cứu về việc xác thực dựa trên tốc độ nhập mật khẩu.
Ví dụ, nếu mật khẩu có tổng cộng 10 ký tự, thì với cùng một người, các khoảng nhập nhanh và các khoảng nhập chậm ở từng ký tự thường lần nào cũng gần như giống nhau, nên họ dùng kiểu mẫu hành vi đó để xác thực.
Độ chính xác cao hơn mình nghĩ nên đã rất ngạc nhiên.
Có lẽ các chương trình CAPTCHA hầu như không yêu cầu người dùng nhập gì cũng hoạt động theo cách tương tự.
Ồ, ý tưởng đánh giá bằng mẫu gõ phím cũng thú vị đấy.
Các ví dụ được nêu trong bài báo không mang tính thực tiễn, nhưng tôi thấy ý tưởng xem giới hạn của năng lực nhận thức con người không phải là điểm yếu mà là đặc tính riêng của con người để khai thác nó rất thú vị, nên đã thử tóm tắt lại.
Đúng như bạn nói, sự thay đổi trong cách tư duy này thật ấn tượng.