所有人都知道密碼是靠不住的。于是現(xiàn)在有一個(gè)有意思的行為生物識(shí)別是“你是如何打字的”，或稱(chēng)為輸入行為生物識(shí)別技術(shù)。

[[143199]]

生物識(shí)別正在廣泛推廣

大多數(shù)網(wǎng)絡(luò)用戶(hù)在選擇密碼時(shí)都十分大意：在不同地方使用相同的密碼或者總是設(shè)置易破解的弱密碼。如果對(duì)于這樣的錯(cuò)誤視而不見(jiàn)，那么他們的電腦總能感染可以監(jiān)控你鍵盤(pán)敲擊以及盜取登錄憑證的間諜軟件。

能夠更加充分地證明登錄者就是本人，顯然會(huì)大大提升很多網(wǎng)站(尤其是網(wǎng)上銀行)的“幸福指數(shù)”。一些在線服務(wù)解決這個(gè)問(wèn)題的方式之一便是采用雙重認(rèn)證，可能要求用戶(hù)輸入一個(gè)隨機(jī)生成的密碼。攻擊者可能會(huì)獲得你的密碼，同樣他們也很可能物理獲取顯示隨機(jī)PIN值的設(shè)備。

然而，身份驗(yàn)證可以做到的遠(yuǎn)遠(yuǎn)不止這樣，它不僅要檢測(cè)你是否知道你的密碼，以及你的密碼是什么，更要知道你是誰(shuí)(如iPhone中TouchID就是對(duì)生物識(shí)別的應(yīng)用)。

現(xiàn)在有一個(gè)有意思的行為生物識(shí)別是“你是如何打字的”，或稱(chēng)為輸入行為生物識(shí)別技術(shù)。

擊鍵識(shí)別技術(shù)

真實(shí)情況就是人在打字的方式是有不同的。而這種差異很大程度上是視覺(jué)無(wú)法捕捉到的，但是電腦卻可以通過(guò)觀察區(qū)分出不同的打字者。例如，你敲擊不同按鈕時(shí)所間隔的時(shí)間、你指尖按壓每個(gè)字符按鈕的時(shí)長(zhǎng)、你敲擊某串特殊字符的時(shí)間，等等諸如此類(lèi)。

這些測(cè)量結(jié)果對(duì)于大腦來(lái)說(shuō)十分細(xì)微，難以察覺(jué)，但是電腦則可以測(cè)量出精確到毫秒的事件。

如果你是從安全角度看這個(gè)問(wèn)題，那確實(shí)很酷。已經(jīng)有幾家網(wǎng)上一行在做生物識(shí)別技術(shù)，并且已經(jīng)一段時(shí)間了，作為他們打擊詐騙的一部分，這聽(tīng)起來(lái)是挺酷的。

但是，如果鍵盤(pán)行為生物識(shí)別術(shù)被用來(lái)泄露隱私，那又該如何是好?

如果有個(gè)網(wǎng)站檢測(cè)出你的碼字方式，那么可以很輕松地將這些信息加以濫用。

即使你使用了Tor之類(lèi)的服務(wù)器來(lái)隱藏你在網(wǎng)上的行蹤，掩飾你的身份，然而某個(gè)特殊網(wǎng)站記錄下了你敲擊鍵盤(pán)的方式，你的身份很可能就會(huì)被出賣(mài)給想要知道的人。

反鍵盤(pán)識(shí)別：KeyboardPrivacy

現(xiàn)在問(wèn)題來(lái)了：鍵盤(pán)敲擊識(shí)別技術(shù)真的靠譜嗎?

安全研究者Paul Moore和Per Thorshein聯(lián)手開(kāi)發(fā)并測(cè)試了一個(gè)工具，可以將用戶(hù)與網(wǎng)站交互時(shí)的敲擊轉(zhuǎn)為常規(guī)方式，同時(shí)對(duì)人類(lèi)無(wú)法察覺(jué)的差異進(jìn)行了干預(yù)，最終可以瞞過(guò)任何試圖識(shí)別或收集用戶(hù)打字行為的網(wǎng)站。

兩位研究者發(fā)布了一個(gè)Chrome中的拓展KeyboardPrivacy，可以讓你打字看起來(lái)完全不像你，而是像一個(gè)完全不同的人。

觀看下面這段視頻，Per Thorsheim演示了一個(gè)可以成功識(shí)別鍵盤(pán)行為生物信息的網(wǎng)站，而KeyboardPrivacy插件則又是如何瞞天過(guò)海的。

研發(fā)者在博客中表示，他們并不是試圖阻止所有網(wǎng)站使用鍵盤(pán)行為生物識(shí)別技術(shù)進(jìn)行身份驗(yàn)證：

正如我之前提到的，安全和隱私之間需要保持一個(gè)很好的平衡，這點(diǎn)很重要;很少有提升一個(gè)性能卻沒(méi)有其他方面衰退的情況(密碼管理器或許是個(gè)例外)?；蛟S你并不介意訪問(wèn)每個(gè)網(wǎng)站時(shí)泄露一些個(gè)人信息，或許是你的網(wǎng)銀要求你這么做，你可以根據(jù)不同網(wǎng)站需求設(shè)置是否要禁用這一插件。

即使你的生物信息被泄露給第三方機(jī)構(gòu)，除非你登錄這些網(wǎng)站時(shí)“碰巧”禁用了這個(gè)插件，否則就沒(méi)有什么危害。密碼的最大問(wèn)題并不是太長(zhǎng)或者過(guò)于簡(jiǎn)單，而是重復(fù)的使用。你的(有意或無(wú)意)行為被生物識(shí)別技術(shù)在不知不覺(jué)中分享于各個(gè)站點(diǎn)之間。