压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

基于用戶行為的身份驗(yàn)證新技術(shù)終將宣告口令退出歷史舞臺(tái)嗎？

FIDO聯(lián)盟（線上快速身份驗(yàn)證聯(lián)盟）和萬維網(wǎng)聯(lián)盟(W3C)最近公布了一個(gè)新的技術(shù)標(biāo)準(zhǔn)，可以讓用戶用安全密鑰或智能手機(jī)之類的外部驗(yàn)證因子免口令登錄網(wǎng)站，這是口令消除漸進(jìn)過程中的一塊重大里程碑?？诹畈粌H用戶體驗(yàn)糟糕，安全性更是飽受詬病。若設(shè)備智能到可即時(shí)識(shí)別用戶身份，基于可信信息而不是口令提供一種個(gè)性化的安全體驗(yàn)，會(huì)有什么樣的效果呢？該名為“零登錄”的新技術(shù)可能將永絕口令后患。

我們大多數(shù)人都用過指紋或人臉識(shí)別來解鎖智能手機(jī)，但很快，可能連這一步都不需要了。用戶的行為，比如劃過屏幕或輸入字符的方式、位置情況、常規(guī)工作時(shí)段等等，都是特定于用戶個(gè)體的。新技術(shù)就是基于這些因素進(jìn)行用戶身份識(shí)別，讓用戶什么都不用做就能登錄所有應(yīng)用。

想要騙過零登錄技術(shù)，身份竊賊們可能需要花費(fèi)幾個(gè)月時(shí)間并投入數(shù)千美元的設(shè)備。因而零登錄技術(shù)基本上意味著身份竊賊的失業(yè)。不過，還是有一些負(fù)面的東西需要新的規(guī)則和標(biāo)準(zhǔn)來監(jiān)管，保護(hù)用戶的邊界、信息與隱私。比如：

• 用戶如何知曉自己什么時(shí)候是被監(jiān)視著的？
• 用戶怎么知道自己什么時(shí)候登出了？
• 這些行為數(shù)據(jù)的受保護(hù)情況如何？

身份驗(yàn)證的未來

零登錄或許聽起來還有些科幻小說的未來感，但其實(shí)其理念已經(jīng)投入實(shí)踐。一些銀行可以識(shí)別出用戶用新手機(jī)登錄或用從未到過的咖啡店的WiFi連接網(wǎng)銀的情況。一旦檢測(cè)到這種“異常”，銀行會(huì)要求用戶驗(yàn)證郵箱或手機(jī)號(hào)，證明是本人在操作。

包括亞馬遜在內(nèi)的一些大型零售公司也在嘗試基于用戶行為進(jìn)行身份驗(yàn)證。點(diǎn)擊屏幕的力度、輸入的速度等等因人而異，攻擊者難以猜測(cè)或復(fù)制。手機(jī)中的運(yùn)動(dòng)傳感器還能從行走模式“認(rèn)出”用戶——每個(gè)人的步態(tài)都是唯一的，別人模仿不來。綜合所有這些信息，手機(jī)不需要口令也能分析出現(xiàn)在拿著它的人是不是自己真正的主人。

其他設(shè)備的信號(hào)也可以被手機(jī)檢測(cè)到，比如自己的座駕、健身傳感器、耳機(jī)等等，能夠以此為基礎(chǔ)構(gòu)建出用戶的常規(guī)行為模式。這些生活習(xí)慣提供了證明一切如常的另一層保障。

以上行為識(shí)別技術(shù)單拎出來可能還好破解或繞過，但騙過全部？這技術(shù)難度未免太大。多種技術(shù)綜合在一起還能識(shí)別出手機(jī)當(dāng)前是否未經(jīng)主人同意就在解鎖模式下被別人拿走，然后立即鎖定或干脆完全關(guān)機(jī)。口令可做不到這一點(diǎn)。

上下文很重要

用手機(jī)從信用卡上劃1美元下單買個(gè)泰迪熊送到家這種事，是攻擊者會(huì)做的嗎？不太可能。今天很多應(yīng)用即便欺詐交易可能性極低的情況都會(huì)要求用戶提供口令。在線商城不愿意損失銷量，而很多人會(huì)在面對(duì)口令輸入框的時(shí)候再考慮一下要不要買。

零登錄技術(shù)不僅關(guān)注用戶身份，還注意用戶試圖去做的事。它們擅長(zhǎng)分析哪些事情是普通人會(huì)做的，而哪些事情又是攻擊者會(huì)干的?？诹钜廊淮嬖?，但用戶可能再也不會(huì)被要求輸入了——因?yàn)槭謾C(jī)已經(jīng)識(shí)別了用戶。完美的零登錄世界中，只有攻擊者才會(huì)被要求輸入口令。

負(fù)面因素

如果手機(jī)時(shí)刻在收集關(guān)于用戶的一切信息，怎么保護(hù)這些信息？這些信息發(fā)往何方？目前，大多數(shù)時(shí)候這些信息都是閑置狀態(tài)，并不會(huì)被用到。零登錄技術(shù)需要用到這些信息，但怎么使用是個(gè)問題。比較好的用法是在手機(jī)上運(yùn)行軟件收集處理，只往云端發(fā)送“風(fēng)險(xiǎn)評(píng)分”，讓云端的軟件做出智能身份驗(yàn)證決斷。不好的用法就是把關(guān)于用戶的所有信息——行為、生物特征、位置信息等等，都通過互聯(lián)網(wǎng)發(fā)送并存儲(chǔ)在云端。即便信息是加密的，其被攻擊者浸染的風(fēng)險(xiǎn)依然存在。所以，為什么每次換新iPhone都得重置一下指紋？因?yàn)橛脩舻闹讣y是本地存儲(chǔ)在手機(jī)里的，從來不通過互聯(lián)網(wǎng)發(fā)到云端存儲(chǔ)。

如果沒有顯式的登錄過程就登入了服務(wù)，其間的隱私問題怎么算？雖然幾乎沒人會(huì)幻想互聯(lián)網(wǎng)上還存在完全的隱私，我們依然希望能保留一部分的隱私，個(gè)人生活至少不要全部毫無隱藏。在被動(dòng)身份驗(yàn)證模式下，我們可以輕松登錄所有賬戶，隨時(shí)隨地，毫無阻礙，甚至意識(shí)不到登錄過程的存在。

我們也需要能明確終止某在線會(huì)話的途徑。有些人用Uber之類公司的服務(wù)是出于個(gè)人原因，有些人則是職業(yè)需要。如果我就是名出租司機(jī)，那雇主在工作時(shí)間追蹤我的位置毫無問題。但下班之后我可能就需要知道自己已經(jīng)登出服務(wù)，可以自由地?cái)堻c(diǎn)兒私活了。

或許有朝一日，這個(gè)需要記住幾十個(gè)復(fù)雜口令的時(shí)代，會(huì)讓后人詫異。他們或許會(huì)想：動(dòng)動(dòng)手指就行的事兒，到底哪個(gè)腦子不開竅的搞出這種費(fèi)腦子記口令的方法??？然而，就算未來的無形身份驗(yàn)證更便捷，也不能讓它凌駕于人類的隱私、安全與授意之上。這些工具應(yīng)從一開始就按正確的方式構(gòu)建。