基於用戶行為的身份驗證新技術終將宣告口令退出歷史舞臺嗎?
FIDO聯盟(線上快速身份驗證聯盟)和萬維網聯盟(W3C)最近公佈了一個新的技術標準,可以讓用戶用安全密鑰或智能手機之類的外部驗證因子免口令登錄網站,這是口令消除漸進過程中的一塊重大里程碑。口令不僅用戶體驗糟糕,安全性更是飽受詬病。若設備智能到可即時識別用戶身份,基於可信信息而不是口令提供一種個性化的安全體驗,會有什麼樣的效果呢?該名為“零登錄”的新技術可能將永絕口令後患。
我們大多數人都用過指紋或人臉識別來解鎖智能手機,但很快,可能連這一步都不需要了。用戶的行為,比如劃過屏幕或輸入字符的方式、位置情況、常規工作時段等等,都是特定於用戶個體的。新技術就是基於這些因素進行用戶身份識別,讓用戶什麼都不用做就能登錄所有應用。
想要騙過零登錄技術,身份竊賊們可能需要花費幾個月時間並投入數千美元的設備。因而零登錄技術基本上意味著身份竊賊的失業。不過,還是有一些負面的東西需要新的規則和標準來監管,保護用戶的邊界、信息與隱私。比如:
- 用戶如何知曉自己什麼時候是被監視著的?
- 用戶怎麼知道自己什麼時候登出了?
- 這些行為數據的受保護情況如何?
身份驗證的未來
零登錄或許聽起來還有些科幻小說的未來感,但其實其理念已經投入實踐。一些銀行可以識別出用戶用新手機登錄或用從未到過的咖啡店的WiFi連接網銀的情況。一旦檢測到這種“異常”,銀行會要求用戶驗證郵箱或手機號,證明是本人在操作。
包括亞馬遜在內的一些大型零售公司也在嘗試基於用戶行為進行身份驗證。點擊屏幕的力度、輸入的速度等等因人而異,攻擊者難以猜測或複製。手機中的運動傳感器還能從行走模式“認出”用戶——每個人的步態都是唯一的,別人模仿不來。綜合所有這些信息,手機不需要口令也能分析出現在拿著它的人是不是自己真正的主人。
其他設備的信號也可以被手機檢測到,比如自己的座駕、健身傳感器、耳機等等,能夠以此為基礎構建出用戶的常規行為模式。這些生活習慣提供了證明一切如常的另一層保障。
以上行為識別技術單拎出來可能還好破解或繞過,但騙過全部?這技術難度未免太大。多種技術綜合在一起還能識別出手機當前是否未經主人同意就在解鎖模式下被別人拿走,然後立即鎖定或乾脆完全關機。口令可做不到這一點。
上下文很重要
用手機從信用卡上劃1美元下單買個泰迪熊送到家這種事,是攻擊者會做的嗎?不太可能。今天很多應用即便欺詐交易可能性極低的情況都會要求用戶提供口令。在線商城不願意損失銷量,而很多人會在面對口令輸入框的時候再考慮一下要不要買。
零登錄技術不僅關注用戶身份,還注意用戶試圖去做的事。它們擅長分析哪些事情是普通人會做的,而哪些事情又是攻擊者會幹的。口令依然存在,但用戶可能再也不會被要求輸入了——因為手機已經識別了用戶。完美的零登錄世界中,只有攻擊者才會被要求輸入口令。
負面因素
如果手機時刻在收集關於用戶的一切信息,怎麼保護這些信息?這些信息發往何方?目前,大多數時候這些信息都是閒置狀態,並不會被用到。零登錄技術需要用到這些信息,但怎麼使用是個問題。比較好的用法是在手機上運行軟件收集處理,只往雲端發送“風險評分”,讓雲端的軟件做出智能身份驗證決斷。不好的用法就是把關於用戶的所有信息——行為、生物特徵、位置信息等等,都通過互聯網發送並存儲在雲端。即便信息是加密的,其被攻擊者浸染的風險依然存在。所以,為什麼每次換新iPhone都得重置一下指紋?因為用戶的指紋是本地存儲在手機裡的,從來不通過互聯網發到雲端存儲。
如果沒有顯式的登錄過程就登入了服務,其間的隱私問題怎麼算?雖然幾乎沒人會幻想互聯網上還存在完全的隱私,我們依然希望能保留一部分的隱私,個人生活至少不要全部毫無隱藏。在被動身份驗證模式下,我們可以輕鬆登錄所有賬戶,隨時隨地,毫無阻礙,甚至意識不到登錄過程的存在。
我們也需要能明確終止某在線會話的途徑。有些人用Uber之類公司的服務是出於個人原因,有些人則是職業需要。如果我就是名出租司機,那僱主在工作時間追蹤我的位置毫無問題。但下班之後我可能就需要知道自己已經登出服務,可以自由地攬點兒私活了。
或許有朝一日,這個需要記住幾十個複雜口令的時代,會讓後人詫異。他們或許會想:動動手指就行的事兒,到底哪個腦子不開竅的搞出這種費腦子記口令的方法啊?然而,就算未來的無形身份驗證更便捷,也不能讓它凌駕於人類的隱私、安全與授意之上。這些工具應從一開始就按正確的方式構建。
閱讀更多 安全牛 的文章
