认知指纹:颠覆性的身份认证技术

导读

如果一个网站只需要输入用户名,然后点击“登录”按钮,就可以成功登录,并且其他人无法进入你的账户,听起来是不是很不可思议?

—— 事实上,你输入用户名的时候,网站就已经认出你了。

传统身份认证方式

互联网上几乎所有的网站,都在使用密码作为用户身份认证的方式,这一手段稳定,可靠,经久不衰。但是现在技术日新月异,各种各样的破解、漏洞、信息泄露,使得密码变得不那么安全。

DEFCON 2013,InsidePro小组在48小时内破解了52713组密码

近几年频发的拖库、撞库事件,让互联网公司及广大网民头痛不已。网站一般会采取以下措施

  • 提醒用户不要使用与其他网站一样的密码 强制用户增加密码的复杂程度 要求绑定手机、邮箱作为辅助认证手段 使用动态口令装置、USB证书 为了防止机器撞库、破解,在页面中加上验证码

但最终的实施成本都转嫁到了用户头上 —— 我们需要记住每一个复杂密码(以及与网站的对应关系)、输入难以看清的验证码、查看手机短信、甚至需要随身携带一堆利用率极低的密保装置。

密码认证有两个难以攻克的问题:

  • 一方面,简单的人机交互使得机器人可以轻松模拟人的操作,为自动化的Hack工具提供了便利(验证码在廉价的打码平台面前已经形同虚设) 另一方面,一旦认证通过,系统将会建立起用户会话(Session),而自认证通过的那一刻起,到会话结束的这段时间里,系统并不能保证终端用户一直都是同一个人。

生物学认证方式

这种类型大家也不会陌生,一部分先进的科技已经应用到了我们的日常生活中

  • 指纹识别 虹膜识别 脸部识别 声纹识别 静脉识别 2 眼部追踪 3

这些认证技术无一例外,都需要借助外设,有的还价格不菲。并且这些手段都是强制性干预,会在用户操作的过程中进行阻断,得到用户的反馈之后,方可进行认证、放行。跟传统认证手段一样,此种认证是无状态、不可持续的,仅能保证在认证的那一瞬间是有效的。

认知指纹(Cognitive Fingerprint)

如同上面所述的生物学特征,每个人也都有第一无二的认知特征,包括处理问题的步骤,一个特定动作的执行过程,甚至思考问题的角度以及个人经验。笔迹便是认知指纹的一种。

具体到互联网场景,认知指纹可以包括一个人的打字节奏,鼠标移动轨迹,点击目标的相对位置,触摸屏幕的力度等。通过采集一系列的样本,为用户建立个人行为模型。研究人员称之为behaviometrics,组合了behavioral(行为的)和biometrics(生物计量)两个单词。它更侧重于人的行为方式,而不是物理的人体特征。

按键

键盘上每个键的位置不同,因此敲击每个键时使用的手指,需要移动的距离,敲下的力度(持续时间)都是不同的。对于不同的按键组合,按下同一个键的方式也不尽相同。对于中文输入,输入法以及拼写模式也是很重要的用户偏好属性。

鼠标

鼠标在从一个点移动到另一个点,除了移动的速度的个体差异之外还有一些有趣的特征。

  • 一般来说你不可能恰好沿着目标的方向笔直地移动鼠标,这时就会存在一个偏射角,这跟移动的距离,目标方向有很大关系。而同样的目标,对于不同人来说产生的偏射角范围也是有差异的。
  • 鼠标恰好抵达目标点然后停下,这种情况也是很少见的,通常都会过头或者偏离一些,然后再向目标区域修正,有时候可能需要修正数次,这个模型就是著名的Fitts' Law(费茨定律)

建模与识别

除了键盘和鼠标的动作外,还有一些其他用户偏好。比如翻页,有的人喜欢用键盘,有的人喜欢拖滚动条,而多部分人倾向于直接使用滚轮,这些数据都可以作为建立用户认知指纹的维度。

互联网应用可以静默地采集用户在可信环境下的行为特征数据,通过不断地建模、修正,产出认知指纹。用户在登录的同时,系统同样静默地采集当前操作用户的认知特征,作为登录凭据一并提交,与所登录用户的的认知指纹模型数据比对,便可准确识别出风险及异常,有效地保障用户的账户、资金安全。

通过对所有人的认知指纹进行归一化处理,便可得出区别于“机器人”的“自然人”特征集,因此这种手段也可以用来识别机器。如果用这项技术取代验证码,将大幅度提升用户体验。

  • 优点
    • 无用户感知 - 整个过程中用户感受不到“可见的”挑战 可持续认证 - 会话阶段的每一次操作都可以实时认证,一旦发现异常便可立即终止会话
  • 缺点
    • 准确率依赖模型算法准确率 难以处理个体的异常状态。如:手特别冷的时候

行业动态

  1. 美国国防部DARPA在2012年启动了Active Authentication4项目,意在研究一种可持续的认证方式,防止用户登录之后会话被恶意盗用,目前项目仍在研究阶段。
  2. 瑞典初创公司BehavioSec5获得DARPA支持并参与上述项目,目前已有相关产品。
  3. 以色列初创企业BioCatch6的主要产品也是基于认知指纹技术,不久前获1000万美元投资。
  4. 杭州同盾科技目前正在开发相关产品,并已就相关技术申请专利。

1.CMIYC 2013 http://contest-2013.korelogic.com/stats_27604BD8078FDB93.html ↩ 2.静脉识别 http://www.mofiria.com/en/about ↩ 3.眼部追踪 http://spie.org/x103854.xml ↩ 4.Active Authenticationhttp://www.darpa.mil/OurWork/I2O/Programs/ActiveAuthentication.aspx ↩ 5.BehavioWeb http://www.behaviosec.com/products/web-fraud-detection/ ↩ 6.BioCatch http://www.biocatch.com/ ↩

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2014-08-02

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏SDNLAB

思华SDN技术在盛大游戏G云2.0中的应用

22660
来自专栏玉树芝兰

笔记应用怎么选?

第一句是“好脑子赛不过烂笔头”。记笔记很重要。数字时代,我们应善用科技的成果,使用笔记应用来记笔记。

16920
来自专栏互联网数据官iCDO

使用归因模型前,要先填上这8个坑!

仲志成,iCDO原创志愿者 在互联网数据领域,归因模型常被提及。如何用对数据,如何真正让归因模型产生价值,作者为我们总结了8个坑。让我们一起来看看自己有没有落入...

60180
来自专栏腾讯技术工程官方号的专栏

微信、QQ都在用的腾讯云EB级对象存储架构剖析

80010
来自专栏SDNLAB

毫米波:5G部署跳不过的一道坎

5G被业界视为革命性的无线技术,但作为下一代标准基础之一的高频谱要求运营商采用与以前截然不同的方式来构建网络并对之前的蜂窝网络进行升级。 ? 20世纪80年代的...

44790
来自专栏云计算D1net

高性能的云存储不再是白日梦

“任何时候,只要当您将您的基础设施迁移到数据中心以外的地方时,都会涉及到延迟,您将遭遇到以光的速度运行的问题。”位于马萨诸塞州米尔福德的企业策略集团公司(Ent...

417130
来自专栏VRPinea

这款VR桌面应用能让你穿梭在虚拟与现实之间

41350
来自专栏FreeBuf

大数据安全分析(理念篇)

一、引言 单纯的防御措施无法阻止蓄意的攻击者,这已经是大家都认同的事实,应对挑战业界有了诸多方面的探索和实践,而其中最有趣的就非安全分析莫属了,围绕着安全分析展...

37750
来自专栏逸鹏说道

程序员的核心竞争力是什么?为什么?

姚冬回答的非常好,我狗尾续貂的说几句。 我们都知道学习能力很重要,那么学习能力从何而来,除了去看书上课这种,如何在实践工作中学习成长? 我之前微博说了一个笼统...

34760
来自专栏Java学习网

5种类型的程序员

5种类型的程序员 在我的代码旅程和编程冒险中,我遇到过很多奇怪的敌人,以及陌生的盟友。我发现至少有五种不同类型的代码战士,有的人能成为并肩合作的战友,而有些人似...

30780

扫码关注云+社区

领取腾讯云代金券