字符密码风险加大:新型认证技术崛起|密码|认证|Facebook
导语:美国《纽约时报》网络版今天刊登题为《触摸、语音和心脏,都能让机器认识你》(Machines Made to Know You, by Touch, Voice, Even by Heart)的评论文章称,虽然用户名和密码这种传统认证模式已经延续多年,但随着高科技设备和服务种类的逐渐增多,这种模式似乎已经难以适应时代的发展。于是,各种各样的新型身份识别技术便脱颖而出。
以下为文章主要内容:
新型技术
机器怎么认证人类的身份?虹膜、脉搏、指纹、声音,都可以帮上忙。
从互联网发展之初,身份认证便是一大难题。但现在,随着人们对传统的用户名和密码系统的安全风险越发担忧,很多高科技候选方案逐渐涌现,有些甚至直接来自科幻小说。
苹果公司周二推出了两款新iPhone,其中的iPhone 5S首次配备了指纹传感器,可以不必输入密码,直接利用指纹打开手机和购买产品。这项新功能是目前正在开发的一系列认证工具之一,当然,并不仅仅针对手机。
与指纹传感器一样,其中部分功能需要使用人身上的一些不可变的“编码”,还有一些则会把手机变成认证设备。
在众多生物特征识别工具中,最新颖的是由多伦多大学的密码学家开发的新型腕带,它内置的电压计可以读取脉搏。
“你只要戴上它,它就能认出你。它可以安全地将你的身份发送给周围的一切。”该产品的发明人之一卡尔・马丁(Karl Martin)说。
安全性是这款名叫Nymi的腕带最大的卖点。虽然心脏可能出问题,但马丁却承诺,脉搏不会有问题。
创业公司
这些新技术的诞生正值安全和隐私担忧日益高涨之际,主要原因是传统的在线身份认证模式风险越来越大。很多热门网站的用户名和密码纷纷被窃,上月有报道称,就连长达55个字符的密码都可以被破解。
旧金山的Clef公司开发了一款移动应用,可以直接向桌面电脑发送一个密钥。然后,你试图进入的网站会根据手机识别出你,而不必单独输入密码。
拉斯维加斯创业公司LaunchKey目前仍处于测试阶段,他们也希望通过手机来认证。你需要注册LaunchKey网站,然后将自己的账号与特定的手机绑定。之后,当你想要登录网站或移动应用时,只要对方兼容LaunchKey的服务,便会向你的手机发送一条提醒。通过一款应用,只需要将手指滑向屏幕上的一个图标,便可完成认证授权。
位于加州红木城的OneID公司也提供了一种可以用于众多网站和设备的通用登录服务。在演示视频中,OneID工程师吉姆・芬顿(Jimi Fenton)证明了如何利用OneID打开自己家的车库门。
芬顿采访中表示,很多新型上网设备的软肋就是缺乏安全的访问方式。
“如果你把所有东西都连上网,就需要有各种好办法来控制各种访问权限,不仅要具备安全性,还要足够便利。”他说,“用户名和密码并不是适合所有设备的好办法。”
行业联盟
指纹传感器等生物特征识别工具已经应用在笔记本等设备上,但却不能确保每次都正常运行。苹果公司的最新指纹传感器效果如何,以及用户将怎样利用这种工具,都将非常值得关注。
与此同时,指纹传感器也可能导致安全问题。当苹果公司周二宣布这项功能时,引发了众多质疑和担忧。不过,该公司表示,只会把用户的指纹信息存储在手机上,不会发送到网络服务器,也不会向应用开发者开放。
但还有一个问题:如果不能被各大网站广泛采用,Nymi、OneID和这一领域的其他创业公司都很难吸引用户。
加州大学伯克利分校正在开发一种更有吸引力的方案,可以利用简单而廉价的耳机读取用户的脑电波,借此实现认证,从而省去了输入密码的繁琐程序。
技术人员表示,仅靠一种方法不太可能改变认证问题。网站、汽车或银行账号可能都要使用不同的工具。
一家名为Fido Alliance的行业联盟,目前正在与多家软硬件公司合作开发一整套密码候选方案的标准,以便规范行业发展。这套标准可能会在今年年底发布。Fido Alliance的成员企业正在测试产品,例如指纹识别器以及能够识别面部和声音的软件。有朝一日,用户可能只需要跟电脑说一句话即可登录电子商务网站,或者瞥一眼PayPal移动应用即可完成网上购物。
通用登录
Facebook或许是当今最成功的一站式身份验证服务。目前已经有数以百万的网站与Facebook账号打通,这也可以加强Facebook对用户的了解,从而针对用户发布更有针对性的广告。但风险也显而易见,一旦有不法分子窃取了你的Facebook账号,便可以在整个互联网上假冒你的身份。
Mozilla也在大力推广自家的Persona服务。Mozilla首先通过你的电子邮件服务提供商确认该账号的确属于你。之后,要使用支持Persona登录服务的网站时,只需要借助原始的验证邮件即可登录,不必再输入密码。
Mozilla的身份认证产品目前只与为数不多的网站打通,该公司发言人号称达到“数千个”,但却远低于Facebook的数百万个。
Mozilla工程副总裁乔纳森・南丁格尔(Jonathan Nightingale)表示,我们周围涌现的各种新型上网设备加剧了密码替代方案的紧迫性。“为周围的一切都赋予智能是一个很好的想法,但它们未必都会配有屏幕、键盘和密码管理器。”他说,“不能只是依赖传统的字符密码。”(鼎宏)