導(dǎo)讀

　　如果一個(gè)網(wǎng)站只需要輸入用戶名，然后點(diǎn)擊“登錄”按鈕，就可以成功登錄，并且其他人無(wú)法進(jìn)入你的賬戶，聽(tīng)起來(lái)是不是很不可思議?

　　—— 事實(shí)上，你輸入用戶名的時(shí)候，網(wǎng)站就已經(jīng)認(rèn)出你了。

　　傳統(tǒng)身份認(rèn)證方式

　　互聯(lián)網(wǎng)上幾乎所有的網(wǎng)站，都在使用密碼作為用戶身份認(rèn)證的方式，這一手段穩(wěn)定，可靠，經(jīng)久不衰。但是現(xiàn)在技術(shù)日新月異，各種各樣的破解、漏洞、信息泄露，使得密碼變得不那么安全。

　　DEFCON 2013，InsidePro小組在48小時(shí)內(nèi)破解了52713組密碼 1

　　近幾年頻發(fā)的拖庫(kù)、撞庫(kù)事件，讓互聯(lián)網(wǎng)公司及廣大網(wǎng)民頭痛不已。網(wǎng)站一般會(huì)采取以下措施

　　提醒用戶不要使用與其他網(wǎng)站一樣的密碼

　　強(qiáng)制用戶增加密碼的復(fù)雜程度

　　要求綁定手機(jī)、郵箱作為輔助認(rèn)證手段

　　使用動(dòng)態(tài)口令裝置、USB證書(shū)

　　為了防止機(jī)器撞庫(kù)、破解，在頁(yè)面中加上驗(yàn)證碼

　　但最終的實(shí)施成本都轉(zhuǎn)嫁到了用戶頭上 —— 我們需要記住每一個(gè)復(fù)雜密碼(以及與網(wǎng)站的對(duì)應(yīng)關(guān)系)、輸入難以看清的驗(yàn)證碼、查看手機(jī)短信、甚至需要隨身攜帶一堆利用率極低的密保裝置。

　　密碼認(rèn)證有兩個(gè)難以攻克的問(wèn)題：

　　一方面，簡(jiǎn)單的人機(jī)交互使得機(jī)器人可以輕松模擬人的操作，為自動(dòng)化的Hack工具提供了便利(驗(yàn)證碼在廉價(jià)的打碼平臺(tái)面前已經(jīng)形同虛設(shè))

　　另一方面，一旦認(rèn)證通過(guò)，系統(tǒng)將會(huì)建立起用戶會(huì)話(Session)，而自認(rèn)證通過(guò)的那一刻起，到會(huì)話結(jié)束的這段時(shí)間里，系統(tǒng)并不能保證終端用戶一直都是同一個(gè)人。

　　生物學(xué)認(rèn)證方式

　　這種類型大家也不會(huì)陌生，一部分先進(jìn)的科技已經(jīng)應(yīng)用到了我們的日常生活中

　　指紋識(shí)別

　　虹膜識(shí)別

　　臉部識(shí)別

　　聲紋識(shí)別

　　靜脈識(shí)別

　　眼部追蹤

　　這些認(rèn)證技術(shù)無(wú)一例外，都需要借助外設(shè)，有的還價(jià)格不菲。并且這些手段都是強(qiáng)制性干預(yù)，會(huì)在用戶操作的過(guò)程中進(jìn)行阻斷，得到用戶的反饋之后，方可進(jìn)行認(rèn)證、放行。跟傳統(tǒng)認(rèn)證手段一樣，此種認(rèn)證是無(wú)狀態(tài)、不可持續(xù)的，僅能保證在認(rèn)證的那一瞬間是有效的。

　　認(rèn)知指紋(Cognitive Fingerprint)

　　如同上面所述的生物學(xué)特征，每個(gè)人也都有第一無(wú)二的認(rèn)知特征，包括處理問(wèn)題的步驟，一個(gè)特定動(dòng)作的執(zhí)行過(guò)程，甚至思考問(wèn)題的角度以及個(gè)人經(jīng)驗(yàn)。筆跡便是認(rèn)知指紋的一種。

　　具體到互聯(lián)網(wǎng)場(chǎng)景，認(rèn)知指紋可以包括一個(gè)人的打字節(jié)奏，鼠標(biāo)移動(dòng)軌跡，點(diǎn)擊目標(biāo)的相對(duì)位置，觸摸屏幕的力度等。通過(guò)采集一系列的樣本，為用戶建立個(gè)人行為模型。研究人員稱之為behaviometrics，組合了behavioral(行為的)和biometrics(生物計(jì)量)兩個(gè)單詞。它更側(cè)重于人的行為方式，而不是物理的人體特征。

　　按鍵

　　鍵盤(pán)上每個(gè)鍵的位置不同，因此敲擊每個(gè)鍵時(shí)使用的手指，需要移動(dòng)的距離，敲下的力度(持續(xù)時(shí)間)都是不同的。對(duì)于不同的按鍵組合，按下同一個(gè)鍵的方式也不盡相同。對(duì)于中文輸入，輸入法以及拼寫(xiě)模式也是很重要的用戶偏好屬性。

　　鼠標(biāo)

　　鼠標(biāo)在從一個(gè)點(diǎn)移動(dòng)到另一個(gè)點(diǎn)，除了移動(dòng)的速度的個(gè)體差異之外還有一些有趣的特征。

　　一般來(lái)說(shuō)你不可能恰好沿著目標(biāo)的方向筆直地移動(dòng)鼠標(biāo)，這時(shí)就會(huì)存在一個(gè)偏射角，這跟移動(dòng)的距離，目標(biāo)方向有很大關(guān)系。而同樣的目標(biāo)，對(duì)于不同人來(lái)說(shuō)產(chǎn)生的偏射角范圍也是有差異的。

 1/2    1 2 下一頁(yè) 尾頁(yè)