FIDO联盟(线上快速身份验证联盟)和万维网联盟(W3C)最近公布了一个新的技术标准,可以让用户用安全密钥或智能手机之类的外部验证因子免口令登录网站,这是口令消除渐进过程中的一块重大里程碑。口令不仅用户体验糟糕,安全性更是饱受诟病。若设备智能到可即时识别用户身份,基于可信信息而不是口令提供一种个性化的安全体验,会有什么样的效果呢?该名为“零登录”的新技术可能将永绝口令后患。

我们大多数人都用过指纹或人脸识别来解锁智能手机,但很快,可能连这一步都不需要了。用户的行为,比如划过屏幕或输入字符的方式、位置情况、常规工作时段等等,都是特定于用户个体的。新技术就是基于这些因素进行用户身份识别,让用户什么都不用做就能登录所有应用。

想要骗过零登录技术,身份窃贼们可能需要花费几个月时间并投入数千美元的设备。因而零登录技术基本上意味着身份窃贼的失业。不过,还是有一些负面的东西需要新的规则和标准来监管,保护用户的边界、信息与隐私。比如:

  • 用户如何知晓自己什么时候是被监视着的?

  • 用户怎么知道自己什么时候登出了?

  • 这些行为数据的受保护情况如何?

身份验证的未来

零登录或许听起来还有些科幻小说的未来感,但其实其理念已经投入实践。一些银行可以识别出用户用新手机登录或用从未到过的咖啡店的WiFi连接网银的情况。一旦检测到这种“异常”,银行会要求用户验证邮箱或手机号,证明是本人在操作。

包括亚马逊在内的一些大型零售公司也在尝试基于用户行为进行身份验证。点击屏幕的力度、输入的速度等等因人而异,攻击者难以猜测或复制。手机中的运动传感器还能从行走模式“认出”用户——每个人的步态都是唯一的,别人模仿不来。综合所有这些信息,手机不需要口令也能分析出现在拿着它的人是不是自己真正的主人。

其他设备的信号也可以被手机检测到,比如自己的座驾、健身传感器、耳机等等,能够以此为基础构建出用户的常规行为模式。这些生活习惯提供了证明一切如常的另一层保障。

以上行为识别技术单拎出来可能还好破解或绕过,但骗过全部?这技术难度未免太大。多种技术综合在一起还能识别出手机当前是否未经主人同意就在解锁模式下被别人拿走,然后立即锁定或干脆完全关机。口令可做不到这一点。

上下文很重要

用手机从信用卡上划1美元下单买个泰迪熊送到家这种事,是攻击者会做的吗?不太可能。今天很多应用即便欺诈交易可能性极低的情况都会要求用户提供口令。在线商城不愿意损失销量,而很多人会在面对口令输入框的时候再考虑一下要不要买。

零登录技术不仅关注用户身份,还注意用户试图去做的事。它们擅长分析哪些事情是普通人会做的,而哪些事情又是攻击者会干的。口令依然存在,但用户可能再也不会被要求输入了——因为手机已经识别了用户。完美的零登录世界中,只有攻击者才会被要求输入口令。

负面因素

如果手机时刻在收集关于用户的一切信息,怎么保护这些信息?这些信息发往何方?目前,大多数时候这些信息都是闲置状态,并不会被用到。零登录技术需要用到这些信息,但怎么使用是个问题。比较好的用法是在手机上运行软件收集处理,只往云端发送“风险评分”,让云端的软件做出智能身份验证决断。不好的用法就是把关于用户的所有信息——行为、生物特征、位置信息等等,都通过互联网发送并存储在云端。即便信息是加密的,其被攻击者浸染的风险依然存在。所以,为什么每次换新iPhone都得重置一下指纹?因为用户的指纹是本地存储在手机里的,从来不通过互联网发到云端存储。

如果没有显式的登录过程就登入了服务,其间的隐私问题怎么算?虽然几乎没人会幻想互联网上还存在完全的隐私,我们依然希望能保留一部分的隐私,个人生活至少不要全部毫无隐藏。在被动身份验证模式下,我们可以轻松登录所有账户,随时随地,毫无阻碍,甚至意识不到登录过程的存在。

我们也需要能明确终止某在线会话的途径。有些人用Uber之类公司的服务是出于个人原因,有些人则是职业需要。如果我就是名出租司机,那雇主在工作时间追踪我的位置毫无问题。但下班之后我可能就需要知道自己已经登出服务,可以自由地揽点儿私活了。

或许有朝一日,这个需要记住几十个复杂口令的时代,会让后人诧异。他们或许会想:动动手指就行的事儿,到底哪个脑子不开窍的搞出这种费脑子记口令的方法啊?然而,就算未来的无形身份验证更便捷,也不能让它凌驾于人类的隐私、安全与授意之上。这些工具应从一开始就按正确的方式构建。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。