認知指紋:顛覆性的身份認證技術
責編:admin |2014-08-02 16:25:16導讀
如果一個網站只需要輸入用戶名,然后點擊“登錄”按鈕,就可以成功登錄,并且其他人無法進入你的賬戶,聽起來是不是很不可思議?
—— 事實上,你輸入用戶名的時候,網站就已經認出你了。
傳統身份認證方式
互聯網上幾乎所有的網站,都在使用密碼作為用戶身份認證的方式,這一手段穩定,可靠,經久不衰。但是現在技術日新月異,各種各樣的破解、漏洞、信息泄露,使得密碼變得不那么安全。
DEFCON 2013,InsidePro小組在48小時內破解了52713組密碼 1
近幾年頻發的拖庫、撞庫事件,讓互聯網公司及廣大網民頭痛不已。網站一般會采取以下措施
提醒用戶不要使用與其他網站一樣的密碼
強制用戶增加密碼的復雜程度
要求綁定手機、郵箱作為輔助認證手段
使用動態口令裝置、USB證書
為了防止機器撞庫、破解,在頁面中加上驗證碼
但最終的實施成本都轉嫁到了用戶頭上 —— 我們需要記住每一個復雜密碼(以及與網站的對應關系)、輸入難以看清的驗證碼、查看手機短信、甚至需要隨身攜帶一堆利用率極低的密保裝置。
密碼認證有兩個難以攻克的問題:
一方面,簡單的人機交互使得機器人可以輕松模擬人的操作,為自動化的Hack工具提供了便利(驗證碼在廉價的打碼平臺面前已經形同虛設)
另一方面,一旦認證通過,系統將會建立起用戶會話(Session),而自認證通過的那一刻起,到會話結束的這段時間里,系統并不能保證終端用戶一直都是同一個人。
生物學認證方式
這種類型大家也不會陌生,一部分先進的科技已經應用到了我們的日常生活中
指紋識別
虹膜識別
臉部識別
聲紋識別
靜脈識別 2
眼部追蹤 3
這些認證技術無一例外,都需要借助外設,有的還價格不菲。并且這些手段都是強制性干預,會在用戶操作的過程中進行阻斷,得到用戶的反饋之后,方可進行認證、放行。跟傳統認證手段一樣,此種認證是無狀態、不可持續的,僅能保證在認證的那一瞬間是有效的。
認知指紋(Cognitive Fingerprint)
如同上面所述的生物學特征,每個人也都有第一無二的認知特征,包括處理問題的步驟,一個特定動作的執行過程,甚至思考問題的角度以及個人經驗。筆跡便是認知指紋的一種。
具體到互聯網場景,認知指紋可以包括一個人的打字節奏,鼠標移動軌跡,點擊目標的相對位置,觸摸屏幕的力度等。通過采集一系列的樣本,為用戶建立個人行為模型。研究人員稱之為behaviometrics,組合了behavioral(行為的)和biometrics(生物計量)兩個單詞。它更側重于人的行為方式,而不是物理的人體特征。
按鍵
鍵盤上每個鍵的位置不同,因此敲擊每個鍵時使用的手指,需要移動的距離,敲下的力度(持續時間)都是不同的。對于不同的按鍵組合,按下同一個鍵的方式也不盡相同。對于中文輸入,輸入法以及拼寫模式也是很重要的用戶偏好屬性。
鼠標
鼠標在從一個點移動到另一個點,除了移動的速度的個體差異之外還有一些有趣的特征。
一般來說你不可能恰好沿著目標的方向筆直地移動鼠標,這時就會存在一個偏射角,這跟移動的距離,目標方向有很大關系。而同樣的目標,對于不同人來說產生的偏射角范圍也是有差異的。
鼠標恰好抵達目標點然后停下,這種情況也是很少見的,通常都會過頭或者偏離一些,然后再向目標區域修正,有時候可能需要修正數次,這個模型就是著名的Fitts'; Law(費茨定律)
建模與識別
除了鍵盤和鼠標的動作外,還有一些其他用戶偏好。比如翻頁,有的人喜歡用鍵盤,有的人喜歡拖滾動條,而多部分人傾向于直接使用滾輪,這些數據都可以作為建立用戶認知指紋的維度。
互聯網應用可以靜默地采集用戶在可信環境下的行為特征數據,通過不斷地建模、修正,產出認知指紋。用戶在登錄的同時,系統同樣靜默地采集當前操作用戶的認知特征,作為登錄憑據一并提交,與所登錄用戶的的認知指紋模型數據比對,便可準確識別出風險及異常,有效地保障用戶的賬戶、資金安全。
通過對所有人的認知指紋進行歸一化處理,便可得出區別于“機器人”的“自然人”特征集,因此這種手段也可以用來識別機器。如果用這項技術取代驗證碼,將大幅度提升用戶體驗。
優點
無用戶感知 – 整個過程中用戶感受不到“可見的”挑戰
可持續認證 – 會話階段的每一次操作都可以實時認證,一旦發現異常便可立即終止會話
缺點
準確率依賴模型算法準確率
難以處理個體的異常狀態。如:手特別冷的時候
行業動態
美國國防部DARPA在2012年啟動了Active Authentication4項目,意在研究一種可持續的認證方式,防止用戶登錄之后會話被惡意盜用,目前項目仍在研究階段。
瑞典初創公司BehavioSec5獲得DARPA支持并參與上述項目,目前已有相關產品。
以色列初創企業BioCatch6的主要產品也是基于認知指紋技術,不久前獲1000萬美元投資。
杭州同盾科技目前正在開發相關產品,并已就相關技術申請專利。