導(dǎo)讀

[[123394]]

如果一個(gè)網(wǎng)站只需要輸入用戶名，然后點(diǎn)擊“登錄”按鈕，就可以成功登錄，并且其他人無(wú)法進(jìn)入你的賬戶，聽(tīng)起來(lái)是不是很不可思議?

—— 事實(shí)上，你輸入用戶名的時(shí)候，網(wǎng)站就已經(jīng)認(rèn)出你了。

傳統(tǒng)身份認(rèn)證方式

互聯(lián)網(wǎng)上幾乎所有的網(wǎng)站，都在使用密碼作為用戶身份認(rèn)證的方式，這一手段穩(wěn)定，可靠，經(jīng)久不衰。但是現(xiàn)在技術(shù)日新月異，各種各樣的破解、漏洞、信息泄露，使得密碼變得不那么安全。

DEFCON 2013，InsidePro小組在48小時(shí)內(nèi)破解了52713組密碼 1

近幾年頻發(fā)的拖庫(kù)、撞庫(kù)事件，讓互聯(lián)網(wǎng)公司及廣大網(wǎng)民頭痛不已。網(wǎng)站一般會(huì)采取以下措施

提醒用戶不要使用與其他網(wǎng)站一樣的密碼

強(qiáng)制用戶增加密碼的復(fù)雜程度

要求綁定手機(jī)、郵箱作為輔助認(rèn)證手段

使用動(dòng)態(tài)口令裝置、USB證書(shū)

為了防止機(jī)器撞庫(kù)、破解，在頁(yè)面中加上驗(yàn)證碼

但最終的實(shí)施成本都轉(zhuǎn)嫁到了用戶頭上 —— 我們需要記住每一個(gè)復(fù)雜密碼(以及與網(wǎng)站的對(duì)應(yīng)關(guān)系)、輸入難以看清的驗(yàn)證碼、查看手機(jī)短信、甚至需要隨身攜帶一堆利用率極低的密保裝置。

密碼認(rèn)證有兩個(gè)難以攻克的問(wèn)題：

一方面，簡(jiǎn)單的人機(jī)交互使得機(jī)器人可以輕松模擬人的操作，為自動(dòng)化的Hack工具提供了便利(驗(yàn)證碼在廉價(jià)的打碼平臺(tái)面前已經(jīng)形同虛設(shè))

另一方面，一旦認(rèn)證通過(guò)，系統(tǒng)將會(huì)建立起用戶會(huì)話(Session)，而自認(rèn)證通過(guò)的那一刻起，到會(huì)話結(jié)束的這段時(shí)間里，系統(tǒng)并不能保證終端用戶一直都是同一個(gè)人。#p#

生物學(xué)認(rèn)證方式

這種類型大家也不會(huì)陌生，一部分先進(jìn)的科技已經(jīng)應(yīng)用到了我們的日常生活中

指紋識(shí)別

虹膜識(shí)別

臉部識(shí)別

聲紋識(shí)別

靜脈識(shí)別

眼部追蹤

這些認(rèn)證技術(shù)無(wú)一例外，都需要借助外設(shè)，有的還價(jià)格不菲。并且這些手段都是強(qiáng)制性干預(yù)，會(huì)在用戶操作的過(guò)程中進(jìn)行阻斷，得到用戶的反饋之后，方可進(jìn)行認(rèn)證、放行。跟傳統(tǒng)認(rèn)證手段一樣，此種認(rèn)證是無(wú)狀態(tài)、不可持續(xù)的，僅能保證在認(rèn)證的那一瞬間是有效的。#p#

認(rèn)知指紋(Cognitive Fingerprint)

如同上面所述的生物學(xué)特征，每個(gè)人也都有***無(wú)二的認(rèn)知特征，包括處理問(wèn)題的步驟，一個(gè)特定動(dòng)作的執(zhí)行過(guò)程，甚至思考問(wèn)題的角度以及個(gè)人經(jīng)驗(yàn)。筆跡便是認(rèn)知指紋的一種。

具體到互聯(lián)網(wǎng)場(chǎng)景，認(rèn)知指紋可以包括一個(gè)人的打字節(jié)奏，鼠標(biāo)移動(dòng)軌跡，點(diǎn)擊目標(biāo)的相對(duì)位置，觸摸屏幕的力度等。通過(guò)采集一系列的樣本，為用戶建立個(gè)人行為模型。研究人員稱之為behaviometrics，組合了behavioral(行為的)和biometrics(生物計(jì)量)兩個(gè)單詞。它更側(cè)重于人的行為方式，而不是物理的人體特征。

按鍵

鍵盤上每個(gè)鍵的位置不同，因此敲擊每個(gè)鍵時(shí)使用的手指，需要移動(dòng)的距離，敲下的力度(持續(xù)時(shí)間)都是不同的。對(duì)于不同的按鍵組合，按下同一個(gè)鍵的方式也不盡相同。對(duì)于中文輸入，輸入法以及拼寫(xiě)模式也是很重要的用戶偏好屬性。

 #p#

鼠標(biāo)

鼠標(biāo)在從一個(gè)點(diǎn)移動(dòng)到另一個(gè)點(diǎn)，除了移動(dòng)的速度的個(gè)體差異之外還有一些有趣的特征。

一般來(lái)說(shuō)你不可能恰好沿著目標(biāo)的方向筆直地移動(dòng)鼠標(biāo)，這時(shí)就會(huì)存在一個(gè)偏射角，這跟移動(dòng)的距離，目標(biāo)方向有很大關(guān)系。而同樣的目標(biāo)，對(duì)于不同人來(lái)說(shuō)產(chǎn)生的偏射角范圍也是有差異的。

鼠標(biāo)恰好抵達(dá)目標(biāo)點(diǎn)然后停下，這種情況也是很少見(jiàn)的，通常都會(huì)過(guò)頭或者偏離一些，然后再向目標(biāo)區(qū)域修正，有時(shí)候可能需要修正數(shù)次，這個(gè)模型就是著名的Fitts' Law(費(fèi)茨定律)

 #p#

建模與識(shí)別

除了鍵盤和鼠標(biāo)的動(dòng)作外，還有一些其他用戶偏好。比如翻頁(yè)，有的人喜歡用鍵盤，有的人喜歡拖滾動(dòng)條，而多部分人傾向于直接使用滾輪，這些數(shù)據(jù)都可以作為建立用戶認(rèn)知指紋的維度。

互聯(lián)網(wǎng)應(yīng)用可以靜默地采集用戶在可信環(huán)境下的行為特征數(shù)據(jù)，通過(guò)不斷地建模、修正，產(chǎn)出認(rèn)知指紋。用戶在登錄的同時(shí)，系統(tǒng)同樣靜默地采集當(dāng)前操作用戶的認(rèn)知特征，作為登錄憑據(jù)一并提交，與所登錄用戶的的認(rèn)知指紋模型數(shù)據(jù)比對(duì)，便可準(zhǔn)確識(shí)別出風(fēng)險(xiǎn)及異常，有效地保障用戶的賬戶、資金安全。

通過(guò)對(duì)所有人的認(rèn)知指紋進(jìn)行歸一化處理，便可得出區(qū)別于“機(jī)器人”的“自然人”特征集，因此這種手段也可以用來(lái)識(shí)別機(jī)器。如果用這項(xiàng)技術(shù)取代驗(yàn)證碼，將大幅度提升用戶體驗(yàn)。

優(yōu)點(diǎn)

無(wú)用戶感知 - 整個(gè)過(guò)程中用戶感受不到“可見(jiàn)的”挑戰(zhàn)

可持續(xù)認(rèn)證 - 會(huì)話階段的每一次操作都可以實(shí)時(shí)認(rèn)證，一旦發(fā)現(xiàn)異常便可立即終止會(huì)話

缺點(diǎn)

準(zhǔn)確率依賴模型算法準(zhǔn)確率

難以處理個(gè)體的異常狀態(tài)。如：手特別冷的時(shí)候

行業(yè)動(dòng)態(tài)

美國(guó)國(guó)防部DARPA在2012年啟動(dòng)了Active Authentication4項(xiàng)目，意在研究一種可持續(xù)的認(rèn)證方式，防止用戶登錄之后會(huì)話被惡意盜用，目前項(xiàng)目仍在研究階段。

瑞典初創(chuàng)公司BehavioSec5獲得DARPA支持并參與上述項(xiàng)目，目前已有相關(guān)產(chǎn)品。

以色列初創(chuàng)企業(yè)BioCatch6的主要產(chǎn)品也是基于認(rèn)知指紋技術(shù)，不久前獲1000萬(wàn)美元投資。

杭州同盾科技目前正在開(kāi)發(fā)相關(guān)產(chǎn)品，并已就相關(guān)技術(shù)申請(qǐng)專利。

1.CMIYC 2013 http://contest-2013.korelogic.com/stats_27604BD8078FDB93.html ↩

2.靜脈識(shí)別 http://www.mofiria.com/en/about ↩

3.眼部追蹤 http://spie.org/x103854.xml ↩

4.Active Authenticationhttp://www.darpa.mil/OurWork/I2O/Programs/ActiveAuthentication.aspx ↩

5.BehavioWeb http://www.behaviosec.com/products/web-fraud-detection/ ↩

6.BioCatch http://www.biocatch.com/ ↩