5月12日消息,據(jù)BBC報(bào)道,隨著欺詐者越來越容易竊取或猜中我們的用戶名和密碼,我們正輸?shù)暨@場(chǎng)捍衛(wèi)網(wǎng)絡(luò)安全的戰(zhàn)爭。那么通過怪異的方式分析我們?nèi)绾问褂酶鞣N設(shè)備,甚至我們走路的方式,能夠?yàn)槲覀兲峁╊~外的防護(hù)能力嗎?
最近當(dāng)你走在繁忙的街道上時(shí),經(jīng)常能夠遇到所謂的“智能手機(jī)僵尸”,這些人沉迷于手機(jī)中而無視周圍的世界。但他們不知道的是,無論是他們走路的方式,還是握持這些催眠設(shè)備以及與它們交互的方式,都可向服務(wù)提供商表明自己的身份。這是個(gè)令人驚異的行為生物識(shí)別的新世界,它正處于網(wǎng)絡(luò)安全大戰(zhàn)的最前沿。
行為生物識(shí)別公司Callsign首席執(zhí)行官茲亞·哈亞特(Zia Hayat)說:“通過手機(jī)中的加速度計(jì)和陀螺儀,我們可以衡量你的手腕力量。通過測(cè)量你的步伐,我們可以將你從人群中識(shí)別出來,準(zhǔn)確率高達(dá)1/20000,與指紋識(shí)別的精確度大致相當(dāng)。”
所以,即使欺詐者已經(jīng)竊取了你的網(wǎng)銀登錄信息或下載惡意軟件到你的手機(jī)上,這類行為軟件應(yīng)該也能夠發(fā)現(xiàn)異常,確定并非你本人想要嘗試將這些錢轉(zhuǎn)移到國外銀行中??萍脊菊J(rèn)為,這些生物行為特質(zhì)就像我們的聲音那樣獨(dú)特,就像莫爾斯密碼操作員可通過獨(dú)特方式發(fā)送和接受信息那樣。
行為生物識(shí)別公司BioCatch的首席執(zhí)行官艾亞爾·戈德維格(Eyal Goldwerger)稱:“認(rèn)證機(jī)制很不錯(cuò),但是當(dāng)欺詐者已經(jīng)侵入你的系統(tǒng)中時(shí),它就沒用了!大多數(shù)銀行欺詐都是在用戶進(jìn)行認(rèn)證之后發(fā)生的。人類與設(shè)備的交互方式顯然與惡意軟件的運(yùn)作方式截然不同。為此,即使你的手機(jī)被感染,躺在那里靜等你登陸然后進(jìn)行劫持,行為生物識(shí)別方案依然能夠發(fā)現(xiàn)其中的差異。”
圖:行為生物識(shí)別公司Callsign首席執(zhí)行官哈亞特表示,行為生物識(shí)別屬于“情報(bào)驅(qū)動(dòng)的認(rèn)證”
哈亞特說:“如果你沒有操作手機(jī),而它卻自己在運(yùn)行,你可能認(rèn)為是惡意軟件在操控它。我們可以利用最新智能手機(jī)上的氣壓計(jì)測(cè)量氣壓,同時(shí)它也可以顯示手機(jī)的位置,以及是否與用戶所說的位置相吻合。”
甚至于你手指的大小(機(jī)手指覆蓋住屏幕的面積)也可以幫助設(shè)置相當(dāng)精確的簽名信號(hào)。這很容易理解,許多銀行都對(duì)這種新的安全方式產(chǎn)生興趣,Callsign的客戶包括來愛的銀行集團(tuán)和德意志銀行等。此外,Behaviosec、NuData Security以及Zighra等行為生物識(shí)別公司,也都在與從事身份管理的網(wǎng)絡(luò)安全公司合作。舉例來說,Callsign的技術(shù)正與ForgeRock的身份管理平臺(tái)進(jìn)行整合。
ForgeRock首席執(zhí)行官邁克·艾利斯(Mike Ellis)表示:“我們正邁向密碼更少的世界,為此我們需要更多層次的身份驗(yàn)證,而行為生物驗(yàn)證機(jī)制就是其中之一,識(shí)別設(shè)備、其地理位置以及典型行為則是另一層。”
越來越多的銀行正推出語音認(rèn)證機(jī)制,將其作為更安全、更少侵入性的方式,以為客戶建立自己的身份。語音生物識(shí)別機(jī)制公司Nuance的產(chǎn)品戰(zhàn)略總監(jiān)布雷特·博蘭尼克(Brett Beranek)說:“在神經(jīng)網(wǎng)絡(luò)和機(jī)器學(xué)習(xí)的幫助下,身份驗(yàn)證的準(zhǔn)確性已經(jīng)從98%提高至99%。”
但即便如此,博蘭尼克也承認(rèn),還需要更多層次的驗(yàn)證后行為安全機(jī)制,以幫助用戶應(yīng)對(duì)手機(jī)遭到惡意軟件感染。戈德維格稱,除了物理行為,比如我們打字的速度以及操作手機(jī)的方式,心理行為也可能泄露身份。比如在瀏覽網(wǎng)頁時(shí),我們會(huì)無意識(shí)地做出選擇。他說:“你決定向下滾動(dòng)頁面的方式(包括使用鼠標(biāo)滾輪或點(diǎn)擊頁面?zhèn)冗厵谕蟿?dòng)),可以表明是你在瀏覽網(wǎng)站,而不是其他人。”
BioCatch表示,當(dāng)用戶與他們的數(shù)字設(shè)備進(jìn)行交互時(shí),他們可以對(duì)500多個(gè)參數(shù)進(jìn)行測(cè)量。利用機(jī)器學(xué)習(xí)技術(shù),該公司稱可在短短10分鐘的交互中,幫助建立用戶獨(dú)特的行為生物特征。
但是戈德維格說,行為生物識(shí)別機(jī)制并非為了取代現(xiàn)有的身份認(rèn)證方法,比如語音、指紋以及自拍等,而是對(duì)它們進(jìn)行補(bǔ)充。這種安全機(jī)制的優(yōu)勢(shì)在于,我們所做的一切都是無縫的,不存在任何摩擦。這一切都發(fā)生在后臺(tái),而且用戶毫不知情。這種軟件能在98%的時(shí)間里發(fā)現(xiàn)可疑活動(dòng)。
但是隱私呢?如果這些公司通過檢測(cè)我們的在線行為就可識(shí)別出我們的身份,匿名就成了空話?尋找恐怖分子加密通信方式的方法最后會(huì)變成識(shí)別我們所有人身份的方法嗎?我們真的喜歡這樣的技術(shù)嗎?戈德維格堅(jiān)持稱,BioCatch等技術(shù)不會(huì)看到任何用戶的個(gè)人身份信息,客戶(通常是銀行)也不會(huì)看到BioCatch產(chǎn)生的任何匿名行為模式。他說:“所有銀行看到的是該用戶會(huì)話的風(fēng)險(xiǎn)評(píng)分,而我們看到的是與這個(gè)人有關(guān)的ID號(hào)碼。”
Callsign的哈亞特表示,他的公司也在做同樣的事情,原則上需要遵守現(xiàn)有資料保護(hù) 法例。但是如果欺詐者竊取某人的身份,并重新建立了新的賬號(hào)會(huì)如何?如果沒有用戶以前的行為進(jìn)行對(duì)比,行為生物識(shí)別技術(shù)能確保其肯定有效嗎?
BioCatch認(rèn)為,即使在這些情況下,行為分析也能提供幫助。戈德維格說:“欺詐者可能不熟悉這些數(shù)據(jù),因?yàn)檫@些根本不是他們產(chǎn)生的。我們可以發(fā)現(xiàn)這其中的差異。我們可以注意到他們填寫不同的申請(qǐng)表格,因?yàn)樗麄兺ǔ2粫?huì)那樣做。”