去年，據(jù)說是從各路名人蘋果iCloud賬戶竊取來的裸照開始在各大社交媒體上瘋傳時，蘋果公司在對該事件的回應中，鼓勵人們啟用所謂的“雙因子身份驗證”功能。想法其實很簡單——當你試圖登錄到iCloud賬戶時，蘋果會向你的手機發(fā)送一個四位數(shù)的驗證碼，你必須輸入這個驗證碼才能進行登錄。那樣的話，即便有人獲得了你的賬戶密碼，也無法登錄，除非他們同時拿到了你的手機，才能夠進入你的iCloud的賬戶。

[[147413]]

雙重身份驗證比單獨的口令提供了更好的安全機制，我們的郵箱、社交媒體、銀行賬戶等等方方面面都應該啟用這種雙重身份驗證。不過這樣確實有一個很大的問題，那就是啟用了雙重身份驗證后，真的是太麻煩了。每次我們想要登錄一個網(wǎng)站，就得掏出手機，然后解鎖，找到驗證碼，再在網(wǎng)站上輸入進去。如果動作太慢，驗證碼過期了，還得重來一遍。對于大多數(shù)人來說，這真是個大麻煩，所以很多人都不愿啟用這種雙重身份驗證，任憑自己的賬戶處在隨時可能被攻擊的危險境地。

但蘇黎世瑞士聯(lián)邦理工學院的一組研究人員聲稱，他們已經(jīng)找到了一種方法可以解決用戶雙重身份驗證的痛點。在今年的Usenix安全大會上，該研究小組發(fā)表了一篇論文，描述了他們制作的稱為Sound-Proof的新工具。

當你試圖登錄一個安裝了Sound-Proof的站點時，服務器就會向你手機上的一個App應用發(fā)送指令信號。然后你的手機和瀏覽器都將錄制一個幾秒鐘的環(huán)境噪音樣本。你不需要打開手機，甚至不需要從口袋或是皮包里拿出手機，因為錄制動作由服務器自動觸發(fā)。然后軟件會創(chuàng)建一個基于該噪音的數(shù)字簽名，并上傳至服務器對這兩個簽名進行比對。如果比對成功，服務器就會假定你的手機和你正在試圖登錄的電腦是在同一個房間，并允許你進行登錄?？照{(diào)低鳴聲、杯盤交錯聲、談笑低語聲等等所有這些噪音都將成為服務器采集的樣本。

這類似于酷狗之類的音樂軟件里的聽歌識別功能，你在酒吧、茶餐廳、街邊店、廣場舞聽到一首好聽的歌卻又不知道歌名的時候，就可以使用這個功能錄上一小段，軟件就會根據(jù)不同歌曲的獨特音質(zhì)幫你找到這首歌。不過該論文的作者之一克勞迪奧·馬弗里奧在接受媒體采訪時說，Sound-Proof的底層算法是完全不同的。他說，“我們在第一個原型中曾嘗試使用類似的方法，但是產(chǎn)生的效果并不太理想，很可能是由于不同的場景所致。”

為了保護用戶隱私，該應用不會上傳所錄制的音頻本身，而是只上傳基于所錄制音頻而生成的數(shù)字簽名。同時，為了保護電池壽命，在未收到服務器推送的通知指令前，該應用也不會啟動錄音功能。

這篇論文還包括了研究團隊所進行的可用性研究的結果。調(diào)查發(fā)現(xiàn)，與谷歌的雙重身份驗證機制相比，在可選擇的情況下大多數(shù)人都更愿意使用Sound-Proof作為身份驗證的輔助手段，至少在某些情況下會使用。不過，進行雙重身份驗證機制簡化嘗試的不只Sound-Proof團隊。比如安全公司Authy也創(chuàng)建了類似的APP應用程序，只不過是通過藍牙傳輸數(shù)據(jù)，同樣無需用戶交互。但有一個問題就是還需要在電腦端額外安裝軟件，要是臨時使用別人的電腦登錄的話就無能為力了。Sound-Proof雖然也需要在手機端安裝APP應用，不過倒是無需在電腦上安裝什么插件或軟件。

當然，Sound-Proof還是有一些漏洞。最明顯的一個就是，如果有人和你同處一室，比如在咖啡店，而這個人又知道你的密碼的話，那他就同樣也可以登錄到你的賬戶。還有一種可能性，就是如果有人恰巧和你正看著同樣的電視節(jié)目或正收聽著同樣的廣播，他們就可以根據(jù)其房間的環(huán)境噪音以及節(jié)目的播放延時來冒充你發(fā)起登錄請求。不過研究人員也表示，這種有針對性的攻擊還是比較罕見的。盡管如此，根據(jù)他們所進行的研究成果，研究人員還是堅信，有了Sound-Proof要比不使用雙重身份驗證好得多，雖然這樣的堅信已經(jīng)超出了研究成果的范疇。

到目前為止，Sound-Proof還只是一個研究項目，不過馬弗里奧認為，改變或許很快就會發(fā)生。他說，“目前我們還在努力提高系統(tǒng)的整體性能，提高登錄速度，更好地比對兩個音頻樣本以進一步提高認證的精度。我們的想法是將其作為一個初創(chuàng)企業(yè)繼續(xù)進行運作。”