键盘敲击识别技术真的靠谱吗?

所有人都知道密码是靠不住的。于是现在有一个有意思的行为生物识别是“你是如何打字的”,或称为输入行为生物识别技术。

生物识别正在广泛推广

大多数网络用户在选择密码时都十分大意:在不同地方使用相同的密码或者总是设置易破解的弱密码。如果对于这样的错误视而不见,那么他们的电脑总能感染可以监控你键盘敲击以及盗取登录凭证的间谍软件。

能够更加充分地证明登录者就是本人,显然会大大提升很多网站(尤其是网上银行)的“幸福指数”。一些在线服务解决这个问题的方式之一便是采用双重认证,可能要求用户输入一个随机生成的密码。攻击者可能会获得你的密码,同样他们也很可能物理获取显示随机PIN值的设备。

然而,身份验证可以做到的远远不止这样,它不仅要检测你是否知道你的密码,以及你的密码是什么,更要知道你是谁(如iPhone中TouchID就是对生物识别的应用)。

现在有一个有意思的行为生物识别是“你是如何打字的”,或称为输入行为生物识别技术。

击键识别技术

真实情况就是人在打字的方式是有不同的。而这种差异很大程度上是视觉无法捕捉到的,但是电脑却可以通过观察区分出不同的打字者。例如,你敲击不同按钮时所间隔的时间、你指尖按压每个字符按钮的时长、你敲击某串特殊字符的时间,等等诸如此类。

这些测量结果对于大脑来说十分细微,难以察觉,但是电脑则可以测量出精确到毫秒的事件。

如果你是从安全角度看这个问题,那确实很酷。已经有几家网上一行在做生物识别技术,并且已经一段时间了,作为他们打击诈骗的一部分,这听起来是挺酷的。

但是,如果键盘行为生物识别术被用来泄露隐私,那又该如何是好?

如果有个网站检测出你的码字方式,那么可以很轻松地将这些信息加以滥用。

即使你使用了Tor之类的服务器来隐藏你在网上的行踪,掩饰你的身份,然而某个特殊网站记录下了你敲击键盘的方式,你的身份很可能就会被出卖给想要知道的人。

反键盘识别:KeyboardPrivacy

现在问题来了:键盘敲击识别技术真的靠谱吗?

安全研究者Paul Moore和Per Thorshein联手开发并测试了一个工具,可以将用户与网站交互时的敲击转为常规方式,同时对人类无法察觉的差异进行了干预,最终可以瞒过任何试图识别或收集用户打字行为的网站。

两位研究者发布了一个Chrome中的拓展KeyboardPrivacy,可以让你打字看起来完全不像你,而是像一个完全不同的人。

观看下面这段视频,Per Thorsheim演示了一个可以成功识别键盘行为生物信息的网站,而KeyboardPrivacy插件则又是如何瞒天过海的。

视频内容

研发者在博客中表示,他们并不是试图阻止所有网站使用键盘行为生物识别技术进行身份验证:

正如我之前提到的,安全和隐私之间需要保持一个很好的平衡,这点很重要;很少有提升一个性能却没有其他方面衰退的情况(密码管理器或许是个例外)。或许你并不介意访问每个网站时泄露一些个人信息,或许是你的网银要求你这么做,你可以根据不同网站需求设置是否要禁用这一插件。

*参考来源:tripwire,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-07-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Golang语言社区

用医生的思考方式调试你的代码

“现在的编程工作就像是对你需要解决处理的部分做科学研究。” ——Gerald Sussman 设计和维护好的软件就像是一个抵制复杂度的永无止境的奋斗过程。任何足...

3526
来自专栏工科狗和生物喵

我的工程师的能力评估和发展

Part 1 虽然是作业,但是我也准备好好地评估一下自己的能力,看看自己到底有多菜鸡,好给自己一个响亮的耳光来督促后面的自我学习!所以我就好好地给自己评估下(参...

2965
来自专栏数据派THU

数据蒋堂 | 计算封闭性导致臃肿的数据库

来源:数据蒋堂 作者:蒋步星 本文长度为1873字,建议阅读5分钟 本文讲述计算机的封闭性如何导致了臃肿的数据库。 许多大型用户的数据库(仓库)在运行多年之后,...

19710
来自专栏腾讯技术工程官方号的专栏

鹅厂上万节点大规模集群的跨城自动迁移(上)

当上百P的数据,上万个节点的集群进行跨城迁移时,如何在有限的带宽下实现自动、高效、稳定地迁移?本文将跟你一一揭晓!

1.1K2
来自专栏Albert陈凯

2018-08-16 不知道是不是最通俗易懂的《数据一致性》剖析了一、为什么需要分布式系统?二、分布式系统的副作用三、产生数据不一致的原因四、详解一致性五、结语

https://juejin.im/user/5978b281f265da3e292a3d1c/activities

761
来自专栏CSDN技术头条

剖析桌面化 Android操作系统的发展与未来

“操作系统的新理念/先进技术因素只是一个 OS 能够成功的一小部分,还有很多因素需要综合考虑。路很长,需要一步一步脚踏实地的走,没有捷径。 ” 背景 操作系统是...

3435
来自专栏安全领域

物联网:数据淘金——从数据中挖掘有效信息

如今是信息时代,得数据者得天下。然而,只是“有”数据还不够,数据的“准确性”和数据的“分析”也是至关重要的。爱因斯坦也说过:“能用的不一定有用,有用的也不一定能...

4929
来自专栏IT大咖说

云数据库的本质是什么?

内容来源:2017 年 11 月 18 日,北京偶数科技创始人兼CEO常雷在“第七届数据技术嘉年华”进行《云数据库的本质》演讲分享。IT 大咖说(微信id:it...

2620
来自专栏程序员互动联盟

代码写多了,人会变傻嘛?

最近几天看编程论坛的时候,看到了一个很有意思的话题,说到玩编程的一般比较木讷,寡言少语不好沟通,是不是一旦从事编程工作会让自己的性格变得内向保守了?因为很多的程...

36110
来自专栏云计算D1net

SDN网络对云来说是救星

SDN网络起源于当前交换机、路由器、网络协议以及分段工具不能满足对连通性的需求。 云就绪数据中心能够在全世界任何一处不间断提供信息和生产力。云计算模型通过将计算...

3243

扫码关注云+社区